Patch-Day: Verwirrung um Update für Windows XP Nachdem Microsoft am Dienstag insgesamt fünf Security Bulletins im Rahmen des Patch-Days veröffentlicht hat, gab es einige Unklarheiten. So hat Microsoft nachträglich eine Ergänzung am Security Bulletin MS09-048 vorgenommen.
Der Konzern setzte Windows XP am Mittwoch auf die Liste der betroffenen Software, stellt allerdings keinen Patch für das Betriebssystem zur Verfügung. Der Grund dafür ist die Tatsache, dass Microsoft das Gefahrenpotential für Windows XP lediglich als “niedrig” einstuft.
In dem Bulletin wird auf mehrere Sicherheitslücken im Zusammenhang mit dem TCP/IP-Protokoll hingewiesen.
Microsofts Ankündigung, im September fünf Patch-Pakete zu veröffentlichen, hat sich bewahrheitet: fünfmal Schadcodeausführung übers Netz in Windows, fünfmal ist die Einstufung kritisch. Im Einzelnen betreffen die Updates die JScript-Engine, die unter anderem die Ausführung von JavaScript-Code im Internet Explorer übernimmt, den automatischen Konfigurationsdienst für WLAN-Netzwerke, mehrere Schwachstellen in den Bibliotheken für das Windows-Media-Format WMF, eine Verwundbarkeit im TCP/IP-Netzwerk-Stack, sowie das ActiveX-Control zum Editieren von DHTML-Inhalten.
Der Software-Konzern Microsoft wird am kommenden Dienstag (11.08.2009) im Rahmen seines Patch-Days insgesamt neun Updates ausliefern. Diese sollen vernehmlich Sicherheits-Probleme in Windows und Office beheben.
Drei Patches beheben kritische Lücken unter Windows. Drei weitere sollen ebenfalls verschiedene Fehler in dem Betriebssystem beheben, die aber keine so hohe Gefahrenstufe haben. Das siebente Update richtet sich neben Windows auch an das .Net-Framework.
Der Office-Patch soll eine kritische Sicherheitslücke schließen, die nicht nur in der Büro-Software selbst, sondern auch in den Produkten Microsoft Visual Studio, Microsoft ISA Server und Microsoft BizTalk Server für Angriffe ausgenutzt werden kann.
An jedem zweiten Dienstag des Monats ist Patch-Day, an dem Sicherheitsupdates für verschiedene Microsoft-Produkte erscheinen. Nun wurde Version 2.12 des “Windows-Tools zum Entfernen bösartiger Software” freigegeben.
Dieses Tool überprüft den Computer auf Infektionen mit bestimmter, weit verbreiteter bösartiger Software (Würmer und Trojaner) und unterstützt Sie gegebenenfalls beim Entfernen dieser Schädlinge.
Um die neuen Sicherheits-Updates zu beziehen, empfehlen wir die Nutzung der Microsoft Update Website. Andernfalls besteht die Möglichkeit, sich die Update-Dateien direkt aus dem Microsoft Download-Center bzw. den im Artikel verlinkten Security Bulletins zu laden.
Folgende Sicherheits-Updates wurden heute veröffentlicht:
MS09-028 – Sicherheitslücke in Microsoft DirectShow
Dieses Sicherheitsupdate behebt eine öffentlich gemeldete Sicherheitsanfälligkeit und zwei vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft DirectShow. Die Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete QuickTime-Mediendatei öffnet. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Betroffen sind DirectX 7, 8.1 und 9. Microsoft stuft das Problem als kritisch ein.
MS09-029 – Sicherheitsanfälligkeiten im Embedded OpenType-Schriftartmodul
Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten in der Microsoft Windows-Komponente des Embedded OpenType (EOT)-Schriftartmoduls. Die Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen. Ein Angreifer, dem es gelingt, eine dieser Sicherheitsanfälligkeiten auszunutzen, kann von einem Remotestandort aus vollständige Kontrolle über das betroffene System erlangen. Alle aktuellen Windows-Versionen sind betroffen. Microsoft stuft das Problem als kritisch ein.
MS09-030 – Sicherheitslücke in Microsoft Office Publisher
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Office Publisher, die Remotecodeausführung ermöglichen kann, wenn ein Benutzer eine speziell gestaltete Publisher-Datei öffnet. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Microsoft stuft das Problem aber dennoch als “hoch” ein. Betroffen ist Office 2007 mit Service Pack 1, mit dem SP2 wurde die Lücke bereits beseitigt.
MS09-031 – Sicherheitsanfälligkeit im Microsoft ISA Server 2006
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Internet Security and Acceleration (ISA) Server 2006. Die Sicherheitsanfälligkeit kann die Erhöhung von Berechtigungen ermöglichen, wenn ein Angreifer erfolgreich ein Benutzerkonto mit Administratorberechtigungen für einen ISA Server nachahmt, das für Radius-Einmalkennwort-Authentifizierung und Authentifizierungsdelegierung mit eingeschränkter Kerberos-Delegierung konfiguriert ist. Microsoft stuft das Problem als “hoch” ein.
MS09-032 – Kumulatives Sicherheitsupdate von ActiveX-Kill Bits
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit, die derzeit ausgenutzt wird. Die Sicherheitsanfälligkeit in Microsoft Video-ActiveX-Steuerelement kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite mit Internet Explorer anzeigt und das ActiveX-Steuerelement instanziiert. Dieses Steuerelement sollte nie in Internet Explorer instanziiert werden. Microsoft stuft das Problem, von dem alle Windows-Versionen betroffen sind, als kritisch ein.
MS09-033 – Sicherheitsanfälligkeit in Virtual PC und Virtual Server
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Virtual PC und Microsoft Virtual Server. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code ausführen und vollständige Kontrolle über ein betroffenes Gastsystem erlangen. Alle derzeit erhältlichen Versionen von Virtual PC bzw. Virtual Server sind betroffen. Microsoft stuft das Problem als “hoch” ein.
Microsoft will die erste vor wenigen Tagen bestätigte schwerwiegende Lücke in einem Video-Kontrollelement von ActiveX, die für so genannte “Browse-And-Attack”-Angriffe ausgenutzt werden kann, am bevorstehenden Patch-Day schließen.
Insgesamt sollen am kommenden Dienstag sechs Security Bulletins veröffentlicht werden, die eine bisher noch nicht bekannte Zahl von Schwachstellen beseitigen. Drei der Updates werden als “kritisch” eingestuft und betreffen Windows. Eines davon soll Probleme in Windows Vista und Windows Server 2008 beseitigen.
Virenscanner wie Avira, Commodo,Aladdin, Eset (NOD32),McAfee und Trend Micro weisen Schwachstellen auf im Umgang mit Archiven ( z.b. rar,zip Dateien etc. ), dadurch kann es passieren das ein Infiziertes Archiv nicht gefunden wird und als clean ausgeben wird.
Avira, Eset, Commodo und McAfee sollen bereits ueber ein Updatet bzw. patch die Schwachstelle beseitig haben.
Laut Thierry Zoller, dem Entdecker der Schwachstellen, sollen auch Alladin und Trend Micro ueber die Luecke Informiert sein, aber ein patch oder eine Stellungsname blieb bisslang aus .
Wie schon fuer Vistas SP 1 damals ist nun beim SP 2 fuer Windows Vista ein vorbereitungsupdate noetig um Service Pack 2 zu installieren.
Das Update KB955430 steht nun seit kurzem zum Download bereit auf der Page von Microsoft und muss vor dem Installieren des Service Pack 2 schon auf dem Rechner Installiert sein, um die einwandfreie Installation zukuenftiger Patches und Aktualisierungen zu ermoeglichen.
Das Update KB955430 ist rund 4,2 Megabyte ( bei 64 bit sind es 9,2 MB ) gross, und kann nach der Installation nicht entfernt werden da es ueber keinen deinstaller verfuegt.
Es ist Ratsam ein Backup bzw. Images seines OS mit allen Daten zu machen, falls ggf. KB955430 doch noch Probleme bereitet, SP2 fuer Vista selbst steht noch nicht zum Download bereit.
Wie sicher schon jedem bekannt gibt es jeden 2. Dienstag des Monats das MS patchdaym nun wurden laut MS 23 Sicherheitsluecken in verschiedenen Kompenenten und Anwendungen gefixt bzw. geschlossen .
Das Update (MS09-014) fuer den IE ( Internet Explorer) in IE 5, IE 6 und IE7 beseitigt sechs Sicherheitsluecken. Bei einigen genuegt der Aufruf einer praeparierten Webseite, um Opfer eines Angriffs zu werden. Nach Einschaetzung der Redmonder ist es aufgrund der Komplexitaet der Fehler sehr unwahrscheinlich, dass es funktionierende Exploits geben wird. Im Internet Explorer 8 ist im moment keine der Luecken zu finden.
Auch die Zwei Schwachstellen in MS Excel, vier in Wordpad- und Office-Textkonvertern werden durch die patches MS09-009 und MS09-010 gefixt, die bekannt gewordene Luecke in PowerPoint bleibt jedoch noch ungefixt.
Es sollte nicht gezoegert werden die updates schnellst moeglich einzuspielen.
Ein Update des MG Browsers steht bereit, es wird dringen Empfohlen das Updatet einzuspielen, da es auch die bekannt gewordene Sicherheitsluecke im Core schliesst, wir berichteten ueber die Luecke “ungepatchte Luecke in Firefox”
Hier die History des MG Browsers :
2009-03-28 - Version 8.1.1
- [update] Core FX 3.0.7 => FX 3.0.8
Fixed in Firefox 3.0.8
- [fix] MFSA 2009-13 Arbitrary code execution through XUL element
- [fix] MFSA 2009-12 XSL Transformation vulnerability
- [ADD] Kommentar RSS
- [update] MinimizeToTray 1.2.2 => 1.3
Ideen, Kritik oder aber auch wenn ihr eigene Themes oder Addons entworfen habt die in den MG Browser sollten koennt ihr uns gerne zukommen lassen, wir wuerden uns freuen wenn ihr was passendes fuer den MG Browser habt .
Wie einige sicher schon zu lesen bekommen hatten, luecken, luecken und noch mehr luecken, in der Woche wurde ueber luecken vom IE gesprochen, gelesen und Diskutiert, was auch den IE 8 betraf.
Nun ist firefox dran der leider kritische Luecke aufweist, Ursache des Problems ist ein Fehler bei der Verarbeitung fehlerhafter XML- bzw. XSL-Dateien, die zu einem Speicherfehler fuehren.
Ein Patch ist schon fertig und unterlaeuft momentan den QA und soll laut Wiki am 30. März/1. April 2009 erscheinen .
