Es war ein “&” zu viel – bis zu 11 Updates für Microsoft-Kunden


Am 28 Juli bestätigte Microsoft, dass ein überflüssiges “&” in einer für das System essentiellen Bibliothek die Ursache für mehrere Angriffsmöglichkeiten auf die ActiveX-Komponente “MSVidCtl” war.


Das “&” war der Tippfehler eines Programmierers, dessen Team die veraltete und mit Fehlern behaftete Active Template Library (ATL) als Basis für die neue MSVicCtl nutzte. Die ATL war zum Glück nur eine intern verwendete und keine, die Entwicklern außerhalb von Microsoft vorlag.

ATL, beziehungsweise die erneuerte Komponente wird unter anderem von Internet Explorer und Visual Studio verwendet. Beide Programme erhielten  außerplanmäßig Updates. Normalerweise nutzt Microsoft den monatlich stattfindenden “Patchday”, um Updates zu verteilen.

Am kommenden Patchday (Dienstag) sollen fünf als kritisch ein gestufte sowie vier weitere Updates herausgegeben werden.

Mit diesen Updates sollen unter anderem Office, Internet Explorer (Add-On, um Excel-Arbeitsmappen im Internet Explorer öffnen zu können), Outlook Express, Media Player 10 und 11 gepatcht werden.

Das fehlerhafte ATL war auch die Ursache für die Anfälligkeiten von Adobe Flash Player und Adobe Shockwave Player. Beide Anwendungen wurden letzte Woche unter Zuhilfenahme einer neuen Version von ATL neu kompiliert und den Anwendern als automatisches Update bereitgestellt.