Auf Admins kommt in der n채chsten Woche viel Arbeit zu, denn der monatliche Patch Day f채llt bei Microsoft dieses Mal wieder sehr umfangreich aus
Sieben der von Microsoft f체r den 12. Februar angek체ndigten Security Bulletins tragen die Sicherheitseinstufung kritisch, die 체brigen f체nf hoch. Die kritischen Lecks sind in Windows und Office sowie Microsofts VBScript, JScript und Visual Basic zu finden. Sie alle k철nnen missbraucht werden, um Code auf das System zu schleusen und auszuf체hren.
Die als etwas weniger schwerwiegend eingestuften Sicherheitslecks finden sich ebenfalls in Office, Works und der Works Suite sowie im Active Directory Service von Windows und im Webserver IIS. Das AD- und eines der Windows-Lecks machen das System anf채llig f체r DoS-Angriffe, die Fehler im IIS und den Office-Programmen erlauben die Ausf체hrung von Code.
Weitere Details gibt es wie 체blich erst mit der Ver철ffentlichung der Updates in der n채chsten Woche. (dd)
Die als etwas weniger schwerwiegend eingestuften Sicherheitslecks finden sich ebenfalls in Office, Works und der Works Suite sowie im Active Directory Service von Windows und im Webserver IIS. Das AD- und eines der Windows-Lecks machen das System anf채llig f체r DoS-Angriffe, die Fehler im IIS und den Office-Programmen erlauben die Ausf체hrung von Code.
Weitere Details gibt es wie 체blich erst mit der Ver철ffentlichung der Updates in der n채chsten Woche. (dd)
Sicherheit | 08.02.2008 | 11:18
Statt der angek체ndigten zw철lf Security Bulletins hat Microsoft nur elf ver철ffentlicht, das Update f체r VBScript und JScript hat man sich gespart. Dennoch gibt es reichlich Arbeit f체r Admins, denn die Lecks sind zumeist schwerwiegend und erlauben es, Code auszuf체hren.
AntwortenLöschenSo gibt es ein Sammelupdate f체r den Internet Explorer, bei dem es zu Speicherfehlern kommen kann, unter anderem beim HTML-Rendering und durch einige fehlerhafte ActiveX-Objekte. Zudem kann dem WebDAV-Client von Windows mit manipulierten WebDAV-Antworten Code untergeschoben werden.
Gleich mehrere Lecks sind in MS Office zu finden, wo unter anderem eingebettete Objekte Probleme machen. Zudem gibt es kritische Schwachstellen im Publisher und in Word, bei dem beim Öffnen manipulierter Word-Dokumente Code ausgef체hrt werden kann.
Unter Windows, Office 2004 f체r den Mac und Visual Basic 6 l채sst sich das Windows-Protokoll OLE (Object Linking and Embedding) durch speziell gestaltete Skripte aus dem Tritt bringen.
Alle genannten Lecks werden als kritisch eingestuft, die 체brigen tragen die Sicherheitseinstufung hoch. Sie lassen sich teilweise f체r DoS-Angriffe nutzen, wie die Fehler in Active Directory, das bei einigen LDAP-Anforderungen keine ausreichende Pr체fung vornimmt, und die Windows-Implementierung von TCP/IP, die Probleme bei der Verarbeitung bestimmter DHCP-Pakete hat.
Außerdem schwächelt der Works-Dateikonverter in Works und Office, in ihm finden sich gleich drei Fehler. Zwei Probleme gibt es dar체ber hinaus mit Microsofts Webserver IIS: bei ihm kann ein Angreifer Fehler bei der Verarbeitung von ASP-Skripten und bei den Änderungesbenachrichtigungen für Ordner wie FTPRoot, NNTPFile\Root und WWWRoot
missbrauchen, um sich zus채tzliche Rechte auf dem System zu sichern. (dd) zwei neustarts und dann sah die erfolgsbilanz so aus: Windows Live <a target=