Patch-Day Teil 2: Updates für Windows, Office & IE

Wie jeden zweiten Dienstag im Monat, ist heute wieder Patch-Day beim Redmonder Riesen Microsoft. Angekündigt waren einige sicherheitsrelevante Updates für Windows, Office und den Internet Explorer, die als "kritisch" eingestuft wurden. Zudem wurden einige Patches angekündigt, die zwar sicherheitsrelevant sind, aber nur als "wichtig" eingestuft sind. Um die neuen Sicherheits-Updates zu beziehen, empfehlen wir die Nutzung von Microsoft Update. Andernfalls besteht die Möglichkeit, sich die Update-Dateien direkt aus dem Download-Center von Microsoft zu laden. Die Links findet man in den entsprechenden Security Bulletins. Folgende Sicherheits-Updates wurden heute veröffentlicht:

MS07-042 - Sicherheitslücke in Microsoft XML Core Services
Der erste Patch behebt eine Sicherheitslücke in den Microsoft XML Core Services, zu der keine weiteren Informationen veröffentlicht wurden. Die Lücke erlaubt es einem Angreifer, Code auszuführen, wenn der Anwender eine speziell präparierte Website mit dem Internet Explorer aufruft. Betroffen sind sowohl Windows 2000, XP und Vista, als auch Office 2003 und 2007. Microsoft stuft das Problem als kritisch ein.

Security Bulletin: MS07-042


MS07-043 - Sicherheitslücke in der OLE Automation
Das zweite Update des heutigen Tages behebt eine Sicherheitslücke in der OLE Automation in Windows 2000 und XP sowie Office 2004 für Mac und Visual Basic 6. Beim Betrachten einer speziell präparierten Website könnte Code ausgeführt werden. Microsoft stuft das Problem als kritisch ein.

Security Bulletin: MS07-043



MS07-044 - Sicherheitslücke in Microsoft Excel
Mit diesem Update behebt Microsoft eine Sicherheitslücke in der Tabellenkalkulation Excel. Öffnet der Anwender eine speziell präparierte Excel-Datei, könnte Code ausgeführt werden. Das Update schließt diese Lücke und beseitigt einige andere Fehler, die im Laufe der Untersuchung des Problems entdeckt wurden. Betroffen ist Excel jeweils in Office 2000 SP3, Office XP SP3, Office 2003 SP2 und Office 2004 für Mac. Microsoft stuft das das Update maximal als kritisch ein.

Security Bulletin: MS07-044


MS07-045 - Kumulatives Sicherheitsupdate für Internet Explorer
Dieses Update behebt drei Sicherheitslücken, zu denen keine weiteren Informationen veröffentlicht wurden. Es könnte unter Umständen Schadcode ausgeführt werden, wenn der Anwender eine speziell präparierte Website aufruft. Betroffen sind der Internet Explorer 5.01, 6.0 SP1 und 7.0 unter Windows 2000 SP4, XP, 2003 SP1 bzw. Vista. Microsoft stuft das Problem maximal als kritisch ein, dies betrifft jedoch nur die Version 5.01 und 6 unter Windows 2000 SP4, XP und 2003 SP1. Im Falle des Internet Explorer 7 unter Windows Vista wird es maximal als wichtig eingestuft.

Security Bulletin: MS07-045


MS07-046 - Sicherheitslücke im Graphics Device Interface
Microsoft schließt mit diesem Update eine Schwachstelle im Graphics Device Interface (GDI) unter Windows 2000 SP4, XP und Server 2003, die im Zusammenhang mit der Anzeige speziell präparierter Bilddateien auftreten kann, die als E-Mail-Anhang verschickt werden. Das Problem wird als kritisch eingestuft.

Security Bulletin: MS07-046


MS07-047 - Sicherheitslücke im Windows Media Player
Dieses Update beseitigt zwei Sicherheitslücken in den Windows Media Player Versionen 7.1, 9, 10 und 11 die jeweils unter Windows 2000 SP4, XP, Server 2003 und Vista existieren. Mit Hilfe einer speziell präparierten Datei könnte ein Angreifer Code ausführen. Microsoft stuft das Problem als wichtig ein.

Security Bulletin: MS07-047


MS07-048 - Sicherheitslücke in den Gadgets von Windows Vista
Mit diesem Patch beseitigt Microsoft zwei Sicherheitslücken, die es einem Angreifer ermöglichen, Code auszuführen, wenn der Anwender einen speziell präparierten RSS-Feed abonniert, eine speziell präparierte Kontaktdatei lädt oder einen speziell präparierten Link im Wetter-Gadget anklickt. Betroffen ist ausschließlich Windows Vista. Microsoft stuft das Problem als wichtig ein.

Security Bulletin: MS07-048


MS07-049 - Sicherheitslücke in Virtual PC
Dieses Update behebt eine Schwachstelle in Virtual PC 2004 und 2005, Virtual Server 2005 sowie Virtual PC for Mac 6.1 und 7. Sie könnte einem Gastsystem die Ausführung von Code auf dem Host oder einem anderen Gastsystem ermöglichen. Microsoft stuft das Problem als wichtig ein.

Security Bulletin: MS07-049


MS07-050 - Sicherheitslücke in der Vector Markup Language
Mit dem letzten Patch behebt Microsoft eine Sicherheitslücke in der Implementation der Vector Markup Language (VML) in Windows. Ein Angreifer könnte Code ausführen lassen, wenn der Anwender eine speziell präparierte Website mit dem Internet Explorer öffnet. Betroffen sind der Internet Explorer 5.01, 6.0 und 7.0 unter Windows 2000 SP4, XP, Server 2003 und Vista. Microsoft stuft das Problem als kritisch ein.

Security Bulletin: MS07-050


Für die Nutzer der 64-Bit-Versionen von Windows XP, Server 2003 und Vista wird zusätzlich das Update KB932596 angeboten. Dabei handelt es sich um eine Aktualisierung für den in diesen Varianten enthaltenen Kernelschutz PatchGuard, der die Ausführung unautorisierten Codes im Systemkern verhindert. Microsoft machte leider vorerst keine Angaben darüber, ob dieses Update konkrete Probleme behebt.

Microsoft liefert außerdem seit heute auch das bereits am 24. Juli 2007 veröffentlichte "Zuverlässigkeitsupdate" KB938828 auch über Windows Update aus. Dieses beseitigt einen Fehler, der durch die Tray-Meldungen einiger AntiVirus- und Druck-Programme verursacht werden kann und zum Absturz des Explorers unter Windows XP mit Service Pack 2 führen kann.

Wie üblich wurden heute auch Aktualisierungen für den Junk-Mail-Filter von Outlook und Windows Mail veröffentlicht. Diese können ebenfalls über Windows Update bezogen werden, wenn die jeweilige Software auf dem System installiert ist.