Microsoft schließt weitere Lücken in der Software

Microsoft ist wieder damit beschäftigt, Lücken in seiner Software zu beheben, indem es zwei Security Bulletins veröffentlicht. Die erste Version aktualisiert einen Patch, den sie im Mai für eine Handvoll ihrer Chat-Software-Clients veröffentlicht hat, während die zweite eine Problemumgehung in ihrem Internet Explorer-Webbrowser beschreibt, die als Ergebnis des alternden Gopher-Protokolls auftritt.

Die Sicherheitslücke In MSN Chat, MSN Messenger und Exchange Instant Messenger, die mit dem am 8. Mai veröffentlichten Patch adressiert wurden, konnte ein Angreifer Code auf Zielcomputern über einen Pufferüberlauf in ActiveX ausführen.

Solche Pufferüberläufe treten auf, wenn der reservierte Speicherplatz für Programme oder Dienste im Speicher werden überlaufen, so dass Angreifer Code ausführen oder Systeme übernehmen können.

Der ursprüngliche Patch hat jedoch nicht verhindert, dass die betroffene ActiveX-Komponente in allen Fällen erneut auf Systemen installiert wurde. Dadurch besteht die Gefahr, dass gepatchte Systeme anfällig werden wieder, erklärte Microsoft. Um dies zu beheben, hat es eine neue Reihe von Korrekturen für alle drei betroffenen Produkte veröffentlicht.

Die neue Sicherheitswarnung, Patches und aktualisierte Versionen der Programme finden Sie hier.

Dieses neueste Patch-Update ist nicht das erste Zeit in den letzten Monaten, dass Microsoft ein Sicherheitsupdate beheben musste. Im Mai veröffentlichte das Unternehmen einen Patch für den Internet Explorer, der laut Sicherheitsforscher nicht alle Lücken schließen ließ.

Microsoft hatte im Februar ein ähnliches Problem, als ein weiterer Patch für IE den Browser zum Absturz brachte

Das zweite Security Bulletin des Unternehmens bietet Benutzern eine Möglichkeit, sich mithilfe des Gopher-Protokolls vor Angriffen zu schützen, obwohl für dieses Problem immer noch kein Patch verfügbar ist.

Die Gopher-Sicherheitsanfälligkeit gibt einem Remotebenutzer möglicherweise Zugriff auf einen Hostcomputer Ausnutzen eines Pufferüberlauf-Fehlers im IE-Gopher-Code.

Die Warnung des Unternehmens bezüglich der Gopher-Sicherheitslücke markiert Microsofts offizielle Bestätigung des Fehlers. Als Online Solutions Oy, das finnische Unternehmen, das den Fehler entdeckte, seine Empfehlung veröffentlichte, sagte Microsoft nur, dass das Problem untersucht und nicht bestätigt wurde.

Microsofts Problemumgehung ist die gleiche wie bei Online Lösungen: Benutzer sollten: Tools, Internetoptionen, Verbindungen auswählen, dann auf LAN-Einstellungen klicken und "Proxy-Server für Ihr LAN verwenden" aktivieren. Klicken Sie anschließend auf Erweitert und in diesem Bereich, in dem Benutzer Proxy-Server für die Verwendung mit verschiedenen Protokollen definieren können, gehen Sie zum Textfeld Gopher und geben Sie im Textfeld port