Abo
  • Services:
Anzeige

Microsofts monatlicher Patch-Day wieder im Wochenrhythmus?

Security Bulletin für Februar 2004 neu aufgelegt; Patches für Windows-Versionen

Der ursprüngliche Plan von Microsoft - im Zuge einer neuen Sicherheitsstrategie Patches nur noch an einem monatlichen Patch-Day zu veröffentlichen - wurde offenbar aufgegeben. Denn nach nur einer Woche erschien das Security Bulletin für den Monat Februar 2004 noch einmal: Neben drei Sicherheitslöchern im Internet Explorer werden darin zwei weitere Sicherheitslecks in Windows behoben.

Anzeige

Die ASN.1-Library von Windows NT 4.0 in der Workstation- und Server-Ausführung, in Windows 2000, XP und Server 2003 weist ein Sicherheitsloch auf, worüber Angreifer Programmcode mit Systemrechten auf einem fremden Rechner ausführen können. Ferner lassen sich darüber Programme installieren, Daten einsehen, ändern oder löschen sowie neue Benutzerkonten mit Administratorrechten anlegen. Die ASN.1-Library wird von zahlreichen Verschlüsselungs- und Sicherheitsprotokollen verwendet, wie etwa Kerberos, der NTLMv2 Authentifikation, SSL, digital signierten E-Mails oder auch von signierten ActiveX-Controls. Angreifer können über die entsprechenden Protokolle fremde Rechner angreifen und weitestgehend unter ihre Kontrolle bringen. Zur Ausnutzung des Sicherheitslochs benötigt ein Angreifer direkten Zugriff auf das Netzwerk eines möglichen Opfers. Entsprechende Patches für Windows NT 4.0 in der Workstation- und Server-Version, für Windows 2000, XP und Server 2003 stehen ab sofort zum Download bereit. Microsoft wurde bereits Mitte Juli 2003 über dieses Sicherheitsloch von den Experten von eEye informiert, brauchte aber mehr als sechs Monate zur Bereitstellung entsprechender Patches.

Eine weitere Sicherheitslücke befindet sich ausschließlich in den Server-Varianten von Windows und erlaubt einem Angreifer, unter Windows Server 2003 eine DoS-Attacke auszuführen. Das Sicherheitsleck steckt im WINS-Dienst (Windows Internet Naming Service) und der Methode, besonders gestaltete Pakete zu überprüfen, wobei entsprechend formatierte Pakete den WINS-Server zum Stillstand bringen können, so dass der Dienst manuell neu gestartet werden muss. Perfiderweise ist eine Sicherheitsfunktion in Windows Server 2003 für dieses Verhalten verantwortlich, welches Versuche zur Ausnutzung eines stack-basierten Pufferüberlaufs erschweren soll. Allerdings kann diese Sicherheitsfunktion dazu gebracht werden, den entsprechenden Dienst zu beenden. Microsoft schließt nicht aus, dass in Zukunft Möglichkeiten bekannt werden, diese Sicherheitsfunktion dazu zu missbrauchen, Programmcode auf einem entsprechenden Server auszuführen und rät daher dringend zur Installation des bereitgestellten Patches.

Unter Windows-NT- und 2000-Server weist WINS entsprechend gestaltete Pakete zurück, so dass es zu keiner DoS-Attacke kommt. Auch eine mögliche Programmausführung ist nach Microsofts Auskunft ausgeschlossen, weshalb die Gefahr als gering bewertet wird. Dennoch stellt Redmond auch für die Server-Versionen von Windows NT und 2000 passende Patches zum Download bereit. Zeitgleich mit diesen Patches stellte Microsoft auch einen Patch für Virtual PC für MacOS bereit und veröffentlichte die Informationen zu den drei Sicherheitslöchern im Internet Explorer aus der vergangenen Woche erneut.

Gemäß der neuen Sicherheitsstrategie vom Oktober 2003 wollte Microsoft eigentlich die Verwirrung um Patches für Produkte aus Redmond entwirren und hatte angekündigt, Patches nur noch einmal im Monat zu veröffentlichen. Zumindest der aktuelle Monat lässt aber jede Art von Übersicht vermissen: So hat Microsoft den monatlichen Patch-Day mit einem entsprechenden Security Bulletin in der vergangenen Woche überraschenderweise um rund sieben Tage vorverlegt, um dieses Bulletin nun erneut zu veröffentlichen, ohne allerdings die entsprechenden Info-Mails zu aktualisieren. Denn in den E-Mail-Benachrichtigungen tragen beide "Security Bulletin Summaries for February 2004" die Versionsnummer 1.0, so dass man die vorgenommenen Änderungen an den Bulletins leicht übersieht. Erst bei Aufruf der entsprechenden Webseite informiert Microsoft darüber, dass es sich bereits um die Version 2.0 des Security Bulletin handelt, was derzeit allerdings nur für die englischsprachige Ausführung gilt; das deutschsprachige Dokument trägt noch die Versionsnummer 1.3.


eye home zur Startseite
keinPlan 12. Feb 2004

hat meines wissens auch paar sicherheitslücken .... Sicherheitslücken ... wie soll ichs...

Torsten 12. Feb 2004

Naja Alias schein ja zum Verkauf zu stehen .. der wahrscheinliche Käufer will noch nicht...

jaydee 12. Feb 2004

du wirst lachen: Ich hatte seinerzeit mal nen G3 bondi-blue... geiles Gerät - so habe...

hyper 12. Feb 2004

Ein wahres Wort. Mein Sys läuft jetzt 2 Jahre mit WinME, und ich kann mich ehrlich gesagt...

Anonymous 12. Feb 2004

Software wird veröffentlicht bevor sie fertig ist... Ja, denn ein richtig dickes...



Anzeige

Stellenmarkt
  1. TAP.DE Solutions GmbH, München
  2. MT AG, Ratingen bei Düsseldorf
  3. ServiceXpert GmbH, Hamburg
  4. D. Lechner GmbH, Rothenburg ob der Tauber


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. 29,97€
  3. 61,99€

Folgen Sie uns
       


  1. Knappe Mehrheit

    SPD stimmt für Koalitionsverhandlungen mit Union

  2. Gerichtspostfach

    EGVP-Client kann weiter genutzt werden

  3. DLD-Konferenz

    Gabriel warnt vor digitalem Schlachtfeld Europa

  4. NetzDG

    Streit mit EU über 100-Prozent-Löschquote in Deutschland

  5. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  6. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  7. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  8. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  9. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  10. Die Woche im Video

    Das muss doch einfach schneller gehen!



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames-Rundschau: Krawall mit Knetmännchen und ein Mann im Fass
Indiegames-Rundschau
Krawall mit Knetmännchen und ein Mann im Fass
  1. Games 2017 Die besten Indiespiele des Jahres
  2. Indiegames-Rundschau Von Weltraumpiraten und dem Wunderdoktor

Matthias Maurer: Ein Astronaut taucht unter
Matthias Maurer
Ein Astronaut taucht unter
  1. Planetologie Forscher finden große Eisvorkommen auf dem Mars
  2. SpaceX Geheimer Satellit der US-Regierung ist startklar
  3. Raumfahrt 2017 Wie SpaceX die Branche in Aufruhr versetzt

Nachbarschaftsnetzwerke: Nebenan statt mittendrin
Nachbarschaftsnetzwerke
Nebenan statt mittendrin
  1. Hasskommentare Soziale Netzwerke löschen freiwillig mehr Inhalte
  2. Nextdoor Das soziale Netzwerk für den Blockwart
  3. Hasskommentare Neuer Eco-Chef Süme will nicht mit AfD reden

  1. Re: SPD müsse sich erneuern?

    Mingfu | 01:08

  2. Re: DOW Jones +30% in nur einem Jahr

    Garrona | 01:08

  3. Re: das NetzDG ist eh unvollständig

    teenriot* | 01:02

  4. Re: Meltdown for dummies

    Myxier | 00:59

  5. Re: Was hat das mit IT zu tun? (KT)

    Neonen | 00:49


  1. 16:59

  2. 14:13

  3. 13:15

  4. 12:31

  5. 14:35

  6. 14:00

  7. 13:30

  8. 12:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel