Parallel zu Microsoft hat auch Adobe am gestrigen Dienstag seinen April-Patchday abgehalten. Das Unternehmen schließt vier kritische Lücken in seinem Reader sowie dem PDF-Editor Acrobat, die sich potenziell zum Einschleusen von Schadcode eignen. Bei den Lücken handelt es sich unter anderem um einen Integer Overflow, der bei der Verarbeitung von TrueType-Schriftarten auftritt. Zwei kritische Speicherfehler finden sich in der JavaScript-Engine.
Quelle: heise.de
Die neuen Sicherheitsupdates für Windows sind da. Aktuell stopft Microsoft ein kritisches Wurmloch und repariert drei minder schwere Löcher in seinen Betriebssystemen – nur Windows XP bekommt diesmal keinen Softwareflicken ab.
Microsoft liefert insgesamt vier neue Update-Pakete für Windows 7 und Vista aus, von denen eines mit der höchsten Gefahrenstufe kritisch eingestuft wird. Der Grund: Die mit Patch MS11-083 geschlossene Lücke ließe sich für eine Wurmattacke missbrauchen. Schon die Verbindung mit dem Internet genügt hierfür. Wurm-Schädlinge verbreiten sich eigenständig und könnten beispielsweise blitzschnell Viren und Trojaner in Tausende von PC einschleusen. Noch werde das Leck nicht für Wurm-Angriffe ausgenutzt, warnt Microsoft.
Windows-Update für Netzwerksicherheit
Mit weiteren Updates beseitigt Microsoft unter anderem Schwachstellen in Windows Mail sowie Windows Meeting Space und im Kernelmodus-Treiber. Sie alle erhöhen die Netzwerksicherheit. So verhindert Patch MS11-085, dass Windows-7-Nutzer über präparierte Netzwerk-Verzeichnisse heimlich Schadsoftware untergeschoben bekommen. Das Update für den Kernel-Treiber korrigiert den Umgang mit schädlichen TrueType-Schriftart-Dateien, über die Angreifer einen Windows-PC schlimmstenfalls außer Gefecht setzen könnten.
Quelle : t-online.de
Microsoft hat angekündigt, am kommenden Dienstag insgesamt 16 Patches zu veröffentlichen, die 34 Sicherheitslücken schließen. Neun der Patches beheben kritische Lücken, durch die Angreifer aus der Ferne Schadcode ins System einschleusen können. Elf der Patches betreffen Lücken in Windows; zumeist sind alle Windows-Versionen ab XP SP3 betroffen – ältere Versionen werden von Microsoft nicht länger gepflegt. Für den Internet Explorer wird es zwei Patches geben, beide schließen laut Hersteller kritische Lücken.
Quelle : heise.de
In einem Security Advisory warnt Microsoft vor einer Lücke in Windows, mit dem sich Skripte in scheinbar vertrauenswürdige Seiten einschleusen lassen. Er beruht auf einem Fehler im MHTML-Handler aller derzeit von Microsoft unterstützten Windows-Versionen, also Windows XP bis Windows 7 inklusive der zugehörigen Server-Versionen. Der Fehler steckt zwar in einer Windows-DLL, doch von den verbreiteten Browsern benutzt nur der Internet Explorer sie, um MHTML anzuzeigen. Doch auch lokal abgelegte MHTML-Dateien (Endung .mht) werden standardmäßig mit dem Internet Explorer geöffnet.
Quelle und vollstaendiger Bericht : heise.de
Microsoft hat wie angekündigt 17 Sicherheits-Updates veröffentlicht, um 40 Sicherheitslücken zu schließen. Besonderes Augenmerk verdienen drei Updates: Der kumulative Patch MS10-090 für den Internet Explorer beseitigt sechs Lücken, darunter auch die seit mehreren Wochen bekannte und ausgenutzte Lücke in der Verarbeitung von präparierten Cascading Style Sheets (CSS).
Am vergangenen Wochenende wurde jedoch eine neue Lücke im Internet Explorer im Umgang mit Import-Tags in CSS bekannt, die sich sehr wahrscheinlich ebenfalls zum Infizieren eines Windows-PCs missbrauchen lässt. Ein kursierender Exploit führt zwar nur zum Absturz des Browsers, der französische Sicherheitsdienstleister VUPEN und Secunia erklären in ihren Beschreibungen des Fehlers aber, dass sich dadurch auch Code einschleusen und ausführen lassen könnte. Microsoft untersucht das Problem derzeit.
Quelle : heise.de
Es wird wie immer empfohlen sein Betriebssystem zu updaten.
Für die offizielle, quelloffene Referenzbibliothek zur Darstellung von Bildern im Format “Portable Network Graphics” (PNG) libpng sind die Updates 1.2.44 und 1.4.3 erschienen, um Sicherheitslücken zu schließen. Laut Bericht der Entwickler finden sich in älteren Version zwei Fehler, wovon sich einer zum Einschleusen und Starten von Code ausnutzen lässt. Offenbar ist es bei libpng möglich, eine weitere Bildzeile zu verarbeiten, auch wenn die angegebene Bildhöhe geringer ist. Damit können Angreifer gezielt Code in den Speicher schreiben.
quelle und voller Bericht : heise.de
Adobe hat heute ein Update für den Reader und Acrobat veröffentlicht, mit dem 17 Sicherheitslücken geschlossen werden. Sie lassen sich alle zum Einschleusen und Ausführen von Code missbrauchen.
Eine der gefährlichsten Lücken kann bereits ausgenutzt werden, wenn man mit einem fehleranfälligen Reader-Plug-In eine speziell präparierte Website besucht.
