Mai-Patchday: Microsoft und Adobe schließen kritische Sicherheitslücken

12.05.201011:15Susanne Lang
Mailen
Drucken

Microsoft und Adobe veröffentlichen Aktualisierungen für kritische Schwachstellen in Microsoft Outlook Express, Windows Mail, Microsoft Office, Adobes Shockwave Player und ColdFusion, Adobes Software zum Erstellen von Webanwendungen.

Wie angekündigt hat Microsoft gestern zwei Aktualisierungen veröffentlicht, die kritische Sicherheitslücken in seinen populären E-Mail-Programmen und in Microsoft Office schließen. Von der einen Aktualisierung betroffen sind die E-Mail-Programme Outlook Express 5.5 und 6 unter Windows 2000, XP und Windows Server 2003 sowie Windows Mail und Live Mail unter Windows XP, Vista, Windows Server 2008 und Windows 7. Die zweite Aktualisierung schließt eine Sicherheitslücke, die Microsoft Office XP, Microsoft Office 2003 und Microsoft Office System 2007 anfällig macht.

Microsoft stuft beide Sicherheitslücken als kritisch ein, da sie zur sogenannten Remotecode-Ausführung genutzt werden können. Das bedeutet, dass Angreifer Schadsoftware auf dem betroffenen Computer ausführen können. Nutzer sollten daher so schnell wie möglich die Aktualisierungen installieren. Dazu kann die automatische Update-Funktion von Windows genutzt werden. Alternativ können die Updates auch von der Microsoft-Website heruntergeladen und installiert werden.

Laut dem Nachrichtendienst Heise.de geht eine der Sicherheitslücken auf einen Fehler in der Implementierung des POP3- und IMAP-Protokolls zurück, das zum Empfangen von E-Mails verwendet wird. Sie führe bei präparierten Antworten eines Mailservers zu einem sogenannten „Ganzzahlüberlauf“. Durch diesen Überlauf könne ein Angreifer Schadsoftware in das System einschleusen und mit den Rechten des Benutzers starten. Die zweite Sicherheitslücke betrifft laut Heise.de einen Fehler im Umgang mit aktiven Steuerelementen, den sogenannten ActiveX-Controls. Dadurch kann in manipulierten Office-Dokumenten ein Fehler provoziert werden, den ein Angreifer zum Kompromittieren des Computers ausnutzen kann.

Adobe hat Aktualisierungen für den Shockwave-Player und die Software ColdFusion veröffentlicht. Der Shockwave-Player ist ein wenig verbreiteter Adobe-Player, der nicht mit dem populären Adobe Flash Player zu verwechseln ist, obwohl letzterer im Firefox "Shockwave-Flash Plug-in" genannt wird. Der Shockwave-Player ist wie der Adobe Flash Player ein Plug-in für Webbrowser, mit dem interaktive Flash-Inhalte auf Webseiten abgespielt werden können. Der Shockwave Player kann zusätzlich Dateien des Adobe-Produkts "Adobe Director" abspielen.

Auf der Webseite von Adobe können Sie testen, ob sie den Shockwave Player installiert haben und das Sicherheitsupdate benötigen. Falls Sie Adobe Shockwave installiert haben, sollten Sie die aktuelle Version des Shockwave-Players 11.5.7.609 von der Adobe-Webseite so schnell wie möglich installieren, da es sich bei 17 der 18 geschlossenen Sicherheitslücken um sehr kritische Lücken handelt. Durch diese können Angreifer Schadsoftware auf dem betroffenen Computer ausführen.

Die Sicherheitsupdates für ColdFusion können ebenfalls von der Adobe-Webseite heruntergeladen und installiert werden. Sie schließen Sicherheitslücken in den Versionen ColdFusion 8.0, 8.0.1, 9.0 und früher. Betroffen sind sowohl Nutzer von Windows- und Macintosh- als auch auch von Linux-Systemen.