Abo
  • Services:
Anzeige

Microsofts monatlicher Patch-Day wieder im Wochenrhythmus?

Security Bulletin für Februar 2004 neu aufgelegt; Patches für Windows-Versionen

Der ursprüngliche Plan von Microsoft - im Zuge einer neuen Sicherheitsstrategie Patches nur noch an einem monatlichen Patch-Day zu veröffentlichen - wurde offenbar aufgegeben. Denn nach nur einer Woche erschien das Security Bulletin für den Monat Februar 2004 noch einmal: Neben drei Sicherheitslöchern im Internet Explorer werden darin zwei weitere Sicherheitslecks in Windows behoben.

Anzeige

Die ASN.1-Library von Windows NT 4.0 in der Workstation- und Server-Ausführung, in Windows 2000, XP und Server 2003 weist ein Sicherheitsloch auf, worüber Angreifer Programmcode mit Systemrechten auf einem fremden Rechner ausführen können. Ferner lassen sich darüber Programme installieren, Daten einsehen, ändern oder löschen sowie neue Benutzerkonten mit Administratorrechten anlegen. Die ASN.1-Library wird von zahlreichen Verschlüsselungs- und Sicherheitsprotokollen verwendet, wie etwa Kerberos, der NTLMv2 Authentifikation, SSL, digital signierten E-Mails oder auch von signierten ActiveX-Controls. Angreifer können über die entsprechenden Protokolle fremde Rechner angreifen und weitestgehend unter ihre Kontrolle bringen. Zur Ausnutzung des Sicherheitslochs benötigt ein Angreifer direkten Zugriff auf das Netzwerk eines möglichen Opfers. Entsprechende Patches für Windows NT 4.0 in der Workstation- und Server-Version, für Windows 2000, XP und Server 2003 stehen ab sofort zum Download bereit. Microsoft wurde bereits Mitte Juli 2003 über dieses Sicherheitsloch von den Experten von eEye informiert, brauchte aber mehr als sechs Monate zur Bereitstellung entsprechender Patches.

Eine weitere Sicherheitslücke befindet sich ausschließlich in den Server-Varianten von Windows und erlaubt einem Angreifer, unter Windows Server 2003 eine DoS-Attacke auszuführen. Das Sicherheitsleck steckt im WINS-Dienst (Windows Internet Naming Service) und der Methode, besonders gestaltete Pakete zu überprüfen, wobei entsprechend formatierte Pakete den WINS-Server zum Stillstand bringen können, so dass der Dienst manuell neu gestartet werden muss. Perfiderweise ist eine Sicherheitsfunktion in Windows Server 2003 für dieses Verhalten verantwortlich, welches Versuche zur Ausnutzung eines stack-basierten Pufferüberlaufs erschweren soll. Allerdings kann diese Sicherheitsfunktion dazu gebracht werden, den entsprechenden Dienst zu beenden. Microsoft schließt nicht aus, dass in Zukunft Möglichkeiten bekannt werden, diese Sicherheitsfunktion dazu zu missbrauchen, Programmcode auf einem entsprechenden Server auszuführen und rät daher dringend zur Installation des bereitgestellten Patches.

Unter Windows-NT- und 2000-Server weist WINS entsprechend gestaltete Pakete zurück, so dass es zu keiner DoS-Attacke kommt. Auch eine mögliche Programmausführung ist nach Microsofts Auskunft ausgeschlossen, weshalb die Gefahr als gering bewertet wird. Dennoch stellt Redmond auch für die Server-Versionen von Windows NT und 2000 passende Patches zum Download bereit. Zeitgleich mit diesen Patches stellte Microsoft auch einen Patch für Virtual PC für MacOS bereit und veröffentlichte die Informationen zu den drei Sicherheitslöchern im Internet Explorer aus der vergangenen Woche erneut.

Gemäß der neuen Sicherheitsstrategie vom Oktober 2003 wollte Microsoft eigentlich die Verwirrung um Patches für Produkte aus Redmond entwirren und hatte angekündigt, Patches nur noch einmal im Monat zu veröffentlichen. Zumindest der aktuelle Monat lässt aber jede Art von Übersicht vermissen: So hat Microsoft den monatlichen Patch-Day mit einem entsprechenden Security Bulletin in der vergangenen Woche überraschenderweise um rund sieben Tage vorverlegt, um dieses Bulletin nun erneut zu veröffentlichen, ohne allerdings die entsprechenden Info-Mails zu aktualisieren. Denn in den E-Mail-Benachrichtigungen tragen beide "Security Bulletin Summaries for February 2004" die Versionsnummer 1.0, so dass man die vorgenommenen Änderungen an den Bulletins leicht übersieht. Erst bei Aufruf der entsprechenden Webseite informiert Microsoft darüber, dass es sich bereits um die Version 2.0 des Security Bulletin handelt, was derzeit allerdings nur für die englischsprachige Ausführung gilt; das deutschsprachige Dokument trägt noch die Versionsnummer 1.3.


eye home zur Startseite
keinPlan 12. Feb 2004

hat meines wissens auch paar sicherheitslücken .... Sicherheitslücken ... wie soll ichs...

Torsten 12. Feb 2004

Naja Alias schein ja zum Verkauf zu stehen .. der wahrscheinliche Käufer will noch nicht...

jaydee 12. Feb 2004

du wirst lachen: Ich hatte seinerzeit mal nen G3 bondi-blue... geiles Gerät - so habe...

hyper 12. Feb 2004

Ein wahres Wort. Mein Sys läuft jetzt 2 Jahre mit WinME, und ich kann mich ehrlich gesagt...

Anonymous 12. Feb 2004

Software wird veröffentlicht bevor sie fertig ist... Ja, denn ein richtig dickes...



Anzeige

Stellenmarkt
  1. KWS Services Deutschland GmbH, Einbeck
  2. Elumatec AG, Mühlacker bei Pforzheim
  3. via Nash Direct GmbH, München
  4. operational services GmbH & Co. KG, Frankfurt


Anzeige
Top-Angebote
  1. 219,90€ + 7,98€ Versand (Vergleichspreis 269€)
  2. ab 179,99€

Folgen Sie uns
       


  1. Fifa 18 im Test

    Kick mit mehr Taktik und mehr Story

  2. Trekstor

    Kompakte Convertibles kosten ab 350 Euro

  3. Apple

    4K-Filme in iTunes laufen nur auf neuem Apple TV

  4. Bundesgerichtshof

    Keine Urheberrechtsverletzung durch Google-Bildersuche

  5. FedEX

    TNT verliert durch NotPetya 300 Millionen US-Dollar

  6. Arbeit aufgenommen

    Deutsches Internet-Institut nach Weizenbaum benannt

  7. Archer CR700v

    Kabelrouter von TP-Link doch nicht komplett abgesagt

  8. QC35 II

    Bose bringt Kopfhörer mit eingebautem Google Assistant

  9. Nach "Judenhasser"-Eklat

    Facebook erlaubt wieder gezielte Werbung an Berufsgruppen

  10. Tuxedo

    Linux-Notebook läuft bis zu 20 Stunden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

  1. Re: Wo kann man die Fragen und

    Ovaron | 06:13

  2. Re: Habe es immer noch nicht ganz verstanden

    Ovaron | 06:09

  3. Re: Frauenfußball dabei?

    Erny | 05:58

  4. Re: Kennt wer die Fehler?

    Invertiert | 05:10

  5. Re: 2 Probleme die stören

    Invertiert | 05:06


  1. 18:13

  2. 17:49

  3. 17:39

  4. 17:16

  5. 17:11

  6. 16:49

  7. 16:17

  8. 16:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel