Am gestrigen Patchday von
Microsoft gab es wie
angekündigt nur zwei Sicherheitsupdates. Das erste stopft das bereits vor ungefähr einem Monat bekannt gewordene kritische URI-Sicherheitsleck. In Produkten wie Outlook verursachte die Überprüfung von präparierten URIs durch die Windows Shell einen Fehler, der dazu führen konnte, dass Schad-Software installiert wird. Der Fehler betrifft allerdings nur den Internet Explorer 7. Das Update ersetzt die betroffene Datei Shell32.dll durch eine neue, korrigierte Version.
Der zweite Patch mit der Bezeichnung "hoch" behebt eine Lücke in den Windows-DNS-Servern. Unter Windows 2000 Server sowie unter Windows Server 2003 kann eine zu geringe Entropie bei der Generierung der Transaction-IDs dazu führen, dass Angreifer eine Transaction-ID erfolgreich erraten und damit dem Server gefälschte DNS-Antworten etwa für Phishing-Angriffe unterschieben können.
(mv)