Vorherige Seite

Patches mit eigenen Fehlern

Microsoft veröffentlicht an jedem zweiten Dienstag im Monat Sicherheits-Updates für seine Software. Der Patch-Day im Oktober sollte 22 Lücken schließen, davon allein acht im Internet Explorer. Leider versprechen die neuesten Microsoft-Updates mehr als sie leisten.
microsoft logo

Enttäuschend fiel der letzte Patch-Day aus. Nicht alle Fehler wurden zufriedenstellend behoben – zumindest ein ärgerliches Browser-Problem können die Bugfixes nicht lösen. Über die Drag-and-Drop-Lücke ist es möglich, die Sicherheitszonen des Internet Explorer zu überlisten: Ein als Grafik getarntes Objekt kann, falls es per Drag and Drop verschoben wird, beispielsweise eine EXE-Datei in den Autostart-Ordner kopieren. Das Problem: Es erscheint keine Nachfrage, ob eine Datei heruntergeladen werden soll. Das Objekt wechselt trotz Service-Pack 2 unbemerkt von der Internet-Zone in die vertrauenswürdige lokale Zone. Im Security-Bulletin MS04-038 beschreibt Microsoft das Problem und liefert einen Patch. Dieses Sicherheits-Update arbeitet jedoch nicht einwandfrei: Wenige Tage nach Veröffentlichung zeigte eine Demo-Webseite, dass sich auf gleichem Weg auch ein aktualisierter Internet Explorer täuschen lässt. Auch ein zweites schweres Problem wurde nur oberflächlich behoben. Die JPEG-Lücke sollte bereits im September per Update geschlossen werden. Microsoft musste jetzt Fixes nachlegen, die die Schwachstelle unter Windows XP SP 2 in Zusammenspiel mit Office XP beheben (Knowledge-Base-Artikel 832332), Visio 2002 (831932) und Project 2002 (831931).

Darüber hinaus gibt es auch Aktualisierungen für weitere kritische Fehler: Excel (MS04-033), Windows-Shell (MS04-037), XP-Dienste (MS04-035, MS04-036, MS04-031, MS04- 030, MS04-029), Windows Kernkomponenten (MS04-032) und der in Windows XP eingebauten Zip-Funktion (MS04-034).

Nutzer des Service Packs 2 sollten vor der Installation von zusätzlichen Patches unbedingt einen Fehler beheben, der die automatische Update-Funktion selbst betrifft. Sonst kann es bei der Installation von Updates dazu kommen, dass der Windows-Installer einfriert (Knowledge-Base-Artikel 8885894). Die Folge: Die von Microsoft bereitgestellten Bugfixes lassen sich nicht mehr nutzen.

Microsoft - Firmen-Info: Microsoft
Von Peter Meier, aktualisiert am: 2010-02-26T15:10:46+01:00
Vorherige Seite

Anzeige