16.11.2006: November-Patch-Day bei Microsoft - 6 sicherheitskritische Patches für Windows und den IE

Zum regulären monatlichen Patch-Day bringt Microsoft diesmal 6 sicherheitsrelevante Updates für Windows, die von MS06-66 bis MS06-71 durchnummeriert sind (hier die Übersichtsseite von Microsoft dazu). Außerdem gibt es ein Update des Junk-E-Mail-Filters von Outlook 2003 sowie eine neue Version des Microsoft-Tools zum Entfernen bösartiger Software (siehe Infos weiter unten). Mit den Patches werden unter anderem schon länger bekannte Sicherheitslücken im XML Core-Service sowie im so genannten DirectAnimationControl geschlossen. Leider gibt es keinen Patch für Office bzw. PowerPoint, bei dem ebenfalls eine kritische Sicherheitslücke schon länger bekannt ist. MS06-069 steht im Zusammenhang mit einer Sicherheitslücke im Adobe Flash-Player. Es empfiehlt sich, diesen dabei ebenfalls direkt mit zu aktualisieren, denn seit vorgestern gibt es die finale Version 9.0.28.0, siehe dazu diesen News-Artikel.

Es empfiehlt sich folgendermaßen vorzugehen:

» wer bisher noch nicht den Internet Explorer 7 aufgespielt hat, sollte das jetzt (und vor den anderen Updates) durchführen. Das gilt nur für WinXP-Nutzer - den IE7 gibt es nicht für Win 2000. Microsoft hat angekündigt, den IE7 seit gestern ebenfalls über das Online-Update auszuliefern, allerdings soll das nicht für alle Anwender auf einmal passieren, sondern phasenweise gestreckt werden. Einen ausführlichen News-Artikel zum IE7 von mir finden sie hier.

» die Auto-Update-Funktion des Betriebssystems zu nutzen oder sogar noch besser auf windowsupdate.microsoft.com zu gehen und dort den Update-Prozess manuell anzustoßen (funktioniert nach meiner Erfahrung zuverlässiger). Es sei noch mal daran erinnert, dass es keine Patches mehr für Windows XP mit Service Pack 1 gibt.

» Achten Sie bei Durchführung des Online-Updates doch einmal darauf, über die "Benutzerdefinierte Suche" zu gehen und dann links, in der Navigation auch die Unterpunkte "Software, optional" und "Hardware, Optional" anzuwählen (siehe Screenshots). Denn dort verstecken sich dann nicht-sicherheitskritische Updates, deren Installation aber in den meisten Fällen durchaus auch sinnvoll ist. Beispielsweise liefert Microsoft hier funktionsrelevante Windows-Updates aus oder neue Treiber, die von Hardware-Herstellern zur Verfügung gestellt wurden. Aktuell gibt es beispielsweise eine kritische Sicherheitslücke in WLAN-Netzwerkkartentreibern der Firma WLAN, die von vielen Notebooks verwendet werden. In diesem Fall sollten Sie ein Update unbedingt durchführen.

Anklicken für größeres Bild Anklicken für größeres Bild Anklicken für größeres Bild
Benutzerdefinierte Suche nach Updates Installation wichtiger Updates Auswahl zusätzlicher Updates in der Navigationsleiste

» wer das Auto-/Online-Update nicht durchführen möchte, sollte sich die bereits aktualisierten (nicht-offiziellen) Update-Packs von Winboard.org herunterladen (Update-Pack 2.21 für Windows XP mit SP2 oder Version 1.29 für Windows 2000 mit SP4). Da die Update-Packs nicht das "Windows Tool zum Entfernen bösartiger Software" enthalten, sollte man dieses dann noch einzeln herunterladen und ausführen. Es wird ebenfalls zu jedem Patch-Day aktualisiert (derzeit v1.22).

» Ebenfalls neu ist das monatliche Update für den Junk-E-Mail-Filter von Outlook 2003. Es sollte eigentlich über das Online-Update mit aufgespielt werden. Wer sich da nicht sicher ist, kann es auch schnell von Hand aufspielen (hier der Download). Mittlerweile ist übrigens eine OGA-Lizenzprüfung zum Download nötig. Für Besitzer von Outlook 2000 und XP gibt es keinen solchen Filter.

Zwar sind meines Wissens damit im Augenblick alle bekannten Sicherheitslücken im Internet Explorer wieder geschlossen. Aber die übliche Empfehlung bleibt dennoch, zumindest auf sicherheitskritischen Seiten nur mit einem alternative Browser wie Firefox 2.0 oder Opera 9.x zu surfen (ich empfehle eher Opera, aber auch je nur in der neusten Version!).

Ähnlich sieht es bei Office und insbesondere PowerPoint aus. Da es gerade bei letzterem immer wieder kritische Sicherheitslücken gibt, die insbesondere durch die beliebten "Spaß-PowerPoint-E-Mails" gezielt ausgenutzt werden können, empfiehlt sich mittlerweile zu deren Betrachtung eine sicherere Alternative. Der kostenlose PowerPoint-Viewer ist da leider auch nicht perfekt, denn er war zwar in der Vergangenheit weniger von Sicherheitslücken als PowerPoint selbst betroffen. Aber eben nur etwas weniger. Ich empfehle als bessere Alternative die Installation des kostenlosen Impress aus dem OpenOffice.org-Paket. Die Download-Übersicht für die aktuelle deutsche Version 2.04 (unter Windows) findet sich hier (ca. 93 MB). Wer in der Übersicht nicht durchblickt: das ist der direkte Download-Link der Windows 32-Bit-Version ohne Java vom FTP-Server der RTWH-Aachen. Es ist möglich, Impress nur alleine zu installieren (am besten mit dem Zeichenprogramm DRAW zusammen), was ca. 200 MByte auf der Festplatte benötigt. Auf Wunsch kann man PowerPoint-Dateien auch standardmäßig mit Impress verknüpfen lassen. (av/pc-lexikon.info).

Ergänzende Artikel im Lexikon 2007: Patch, Service Pack, Computervirus, Trojanisches Pferd, Internet Explorer, Webbrowser, OpenOffice.org (bei Office-Anwendungen)