Patch-Day – Microsoft schließt 31 Luecken

Wie jeden zweiten Dienstag im Monat ist heute wieder Patch-Day bei Microsoft. Angekuendigt waren zehn sicherheitsrelevante Updates für Windows und Office, die teilweise als kritisch eingestuft wurden.

Veroeffentlicht wurde :

* MS09-018 – Sicherheitslücke im Active Directory
Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten in Implementierungen von Active Directory unter Microsoft Windows 2000 Server und Windows Server 2003 sowie im Active Directory Application Mode (ADAM) bei Installation unter Windows XP Professional und Windows Server 2003. Die schwerere Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über das betroffene System erlangen. Microsoft stuft das Problem als kritisch ein.

* MS09-019 – Kumulatives Update für den Internet Explorer
Dieses Sicherheitsupdate behebt sieben vertraulich gemeldete Sicherheitsanfälligkeiten und eine öffentlich gemeldete Sicherheitsanfälligkeit in Internet Explorer. Die schwerere Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite mit Internet Explorer anzeigt. Betroffen sind alle Versionen des Internet Explorers, weshalb Microsoft die Probleme zusammenfassend als kritisch einstuft.

* MS09-020 – Sicherheitslücke in den Internet Information Services
Dieses Sicherheitsupdate behebt eine öffentlich gemeldete Sicherheitsanfälligkeit und eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Internet Information Services (IIS). Die Sicherheitsanfälligkeiten können eine Erhöhung von Berechtigungen ermöglichen, wenn ein Angreifer eine speziell gestaltete HTTP-Anforderung an eine Website sendet, die eine Authentifizierung erfordert. Diese Sicherheitsanfälligkeiten ermöglichen einem Angreifer, die IIS-Konfiguration zu umgehen, die angibt, welche Art von Authentifizierung zulässig ist, aber nicht die dateisystembasierte ACL-Kontrolle (access control list, Zugriffssteuerungsliste), die überprüft, ob eine Datei für einen gegebenen Benutzer zugänglich ist. Eine erfolgreiche Ausnutzung dieser Sicherheitsanfälligkeiten würde den Angreifer immer noch auf die Berechtigungen beschränken, die dem anonymen Benutzerkonto durch die Dateisystem-ACLs gewährt werden. Betroffen sind die Windows-Versionen 2000, XP und Server 2003. Microsoft stuft das Problem als ‘hoch’ ein.

* MS09-021 – Sicherheitslücken in Microsoft Excel
Dieses Sicherheitsupdate behebt mehrere vertraulich gemeldete Sicherheitsanfälligkeiten, die Remotecodeausführung ermöglichen können, wenn ein Benutzer eine speziell gestaltete Excel-Datei öffnet, die ein fehlerhaftes Datensatzobjekt enthält. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann vollständige Kontrolle über das betroffene System erlangen. Alle Excel-Versionen ab 2000 sind betroffen. Microsoft stuft das Problem als kritisch ein.

* MS09-022 – Lücken in der Windows-Druckwarteschlange
Dieses Sicherheitsupdate behebt drei vertraulich gemeldete Sicherheitsanfälligkeiten in der Windows-Druckwarteschlange. Die schwerste Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein betroffener Server eine speziell gestaltete RPC-Anforderung empfängt. Da alle Windows-Versionen von diesem Problem betroffen sind, wird es von Microsoft als kritisch eingestuft.

* MS09-023 – Sicherheitslücke in der Windows Suche
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in der Windows-Suche. Die Sicherheitsanfälligkeit kann eine Offenlegung von Informationen ermöglichen, wenn ein Benutzer eine Suche durchführt, bei der als erstes Ergebnis eine speziell gestaltete Datei zurückgegeben wird, oder wenn der Benutzer eine speziell gestaltete Datei aus den Suchergebnissen in der Vorschau anzeigt. Standardmäßig ist die Windows-Suche unter Microsoft Windows XP und Windows Server 2003 nicht vorinstalliert – ist dies der Fall, sind diese Systeme verwundbar. Microsoft stuft das Problem als ‘mittel’ ein.

* MS09-024 – Sicherheitslücke in Microsoft Works-Konvertern
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in den Microsoft Works-Konvertern. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Works-Datei öffnet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Betroffen sind Office 2000, XP, 2003 und 2007. Microsoft stuft das Problem als kritisch ein.

* MS09-025 – Sicherheitslücken im Windows Kernel
Dieses Sicherheitsupdate behebt zwei öffentlich gemeldete und zwei vertraulich gemeldete Sicherheitsanfälligkeiten im Windows-Kernel, die eine Erhöhung von Berechtigungen ermöglichen können. Ein Angreifer, der eine dieser Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann beliebigen Code ausführen und vollständige Kontrolle über das betroffene System erlangen. Alle Windows-Versionen sind von den Problemen betroffen – zusammenfassend werden sie von Microsoft als ‘hoch’ eingestuft.

* MS09-026 – Sicherheitslücke in der RPC-Komponente
Dieses Sicherheitsupdate behebt eine öffentlich gemeldete Sicherheitsanfälligkeit in der Windows-RPC-Funktionalität (Remote Procedure Call, Remoteprozeduraufruf), bei der das RPC-Marshallingmodul seinen internen Zustand nicht richtig aktualisiert. Die Sicherheitsanfälligkeit kann einem Angreifer ermöglichen, beliebigen Code auszuführen und vollständige Kontrolle über das betroffene System zu erlangen. Dieses von Microsoft als ‘hoch’ eingestufte Problem betrifft alle Windows-Versionen.

* MS09-027 – Sicherheitslücken in Microsoft Word
Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten, die Remotecodeausführung ermöglichen können, wenn ein Benutzer eine speziell gestaltete Word-Datei öffnet. Ein Angreifer, dem es gelingt, eine dieser Sicherheitsanfälligkeiten auszunutzen, kann vollständige Kontrolle über das betroffene System erlangen. Die als kritisch eingestuften Probleme betreffen die Office-Versionen 2000, XP, 2003 und 2007.

* MS Removal Tool in Version 2.11
Das Tool lässt sich auch mit einem Aufruf der Datei mrt.exe in Windows\System32 starten.

Microsoft bietet das Windows-Tool zum Entfernen boesartiger Software auch in einer Version für 64-Bit-Systeme an.

Share

Kaffeefahrt: Neue Abzocke geplant

Mit einem dubiosen Gewinnversprechen von 10.000 Euro geht derzeit eine „Oskar Reisen GmbH“ auf Kundenfang. Die angebliche Firma mit Sitz in Bremen bietet für den 17. Juni eine Kaffeefahrt nach Frankreich an und hat dazu etliche Haushalte in Hohenlohe angeschrieben. Von Pfedelbach über Bretzfeld bis Eberstadt werden fünf Bushaltestellen angegeben, wo Kunden zusteigen sollen.

Quelle: stimme.de, Hier klicken um den vollen Artikel zu lesen.

gefunden bei abzocknews

Share