Microsofts monatlicher Patch-Day wieder im Wochenrhythmus?

Security Bulletin für Februar 2004 neu aufgelegt; Patches für Windows-Versionen

Der ursprüngliche Plan von Microsoft - im Zuge einer neuen Sicherheitsstrategie Patches nur noch an einem monatlichen Patch-Day zu veröffentlichen - wurde offenbar aufgegeben. Denn nach nur einer Woche erschien das Security Bulletin für den Monat Februar 2004 noch einmal: Neben drei Sicherheitslöchern im Internet Explorer werden darin zwei weitere Sicherheitslecks in Windows behoben.

Artikel veröffentlicht am ,

Die ASN.1-Library von Windows NT 4.0 in der Workstation- und Server-Ausführung, in Windows 2000, XP und Server 2003 weist ein Sicherheitsloch auf, worüber Angreifer Programmcode mit Systemrechten auf einem fremden Rechner ausführen können. Ferner lassen sich darüber Programme installieren, Daten einsehen, ändern oder löschen sowie neue Benutzerkonten mit Administratorrechten anlegen. Die ASN.1-Library wird von zahlreichen Verschlüsselungs- und Sicherheitsprotokollen verwendet, wie etwa Kerberos, der NTLMv2 Authentifikation, SSL, digital signierten E-Mails oder auch von signierten ActiveX-Controls. Angreifer können über die entsprechenden Protokolle fremde Rechner angreifen und weitestgehend unter ihre Kontrolle bringen. Zur Ausnutzung des Sicherheitslochs benötigt ein Angreifer direkten Zugriff auf das Netzwerk eines möglichen Opfers. Entsprechende Patches für Windows NT 4.0 in der Workstation- und Server-Version, für Windows 2000, XP und Server 2003 stehen ab sofort zum Download bereit. Microsoft wurde bereits Mitte Juli 2003 über dieses Sicherheitsloch von den Experten von eEye informiert, brauchte aber mehr als sechs Monate zur Bereitstellung entsprechender Patches.

Stellenmarkt
  1. Business Analyst / Process Designer (f/m/d)
    NEXPLORE Technology GmbH, Essen
  2. Business Analyst*in Geschäftsprozessmanagement / Business Continuity Manager*in (w/m/d)
    Landeshauptstadt München, München (Home-Office möglich)
Detailsuche

Eine weitere Sicherheitslücke befindet sich ausschließlich in den Server-Varianten von Windows und erlaubt einem Angreifer, unter Windows Server 2003 eine DoS-Attacke auszuführen. Das Sicherheitsleck steckt im WINS-Dienst (Windows Internet Naming Service) und der Methode, besonders gestaltete Pakete zu überprüfen, wobei entsprechend formatierte Pakete den WINS-Server zum Stillstand bringen können, so dass der Dienst manuell neu gestartet werden muss. Perfiderweise ist eine Sicherheitsfunktion in Windows Server 2003 für dieses Verhalten verantwortlich, welches Versuche zur Ausnutzung eines stack-basierten Pufferüberlaufs erschweren soll. Allerdings kann diese Sicherheitsfunktion dazu gebracht werden, den entsprechenden Dienst zu beenden. Microsoft schließt nicht aus, dass in Zukunft Möglichkeiten bekannt werden, diese Sicherheitsfunktion dazu zu missbrauchen, Programmcode auf einem entsprechenden Server auszuführen und rät daher dringend zur Installation des bereitgestellten Patches.

Unter Windows-NT- und 2000-Server weist WINS entsprechend gestaltete Pakete zurück, so dass es zu keiner DoS-Attacke kommt. Auch eine mögliche Programmausführung ist nach Microsofts Auskunft ausgeschlossen, weshalb die Gefahr als gering bewertet wird. Dennoch stellt Redmond auch für die Server-Versionen von Windows NT und 2000 passende Patches zum Download bereit. Zeitgleich mit diesen Patches stellte Microsoft auch einen Patch für Virtual PC für MacOS bereit und veröffentlichte die Informationen zu den drei Sicherheitslöchern im Internet Explorer aus der vergangenen Woche erneut.

Gemäß der neuen Sicherheitsstrategie vom Oktober 2003 wollte Microsoft eigentlich die Verwirrung um Patches für Produkte aus Redmond entwirren und hatte angekündigt, Patches nur noch einmal im Monat zu veröffentlichen. Zumindest der aktuelle Monat lässt aber jede Art von Übersicht vermissen: So hat Microsoft den monatlichen Patch-Day mit einem entsprechenden Security Bulletin in der vergangenen Woche überraschenderweise um rund sieben Tage vorverlegt, um dieses Bulletin nun erneut zu veröffentlichen, ohne allerdings die entsprechenden Info-Mails zu aktualisieren. Denn in den E-Mail-Benachrichtigungen tragen beide "Security Bulletin Summaries for February 2004" die Versionsnummer 1.0, so dass man die vorgenommenen Änderungen an den Bulletins leicht übersieht. Erst bei Aufruf der entsprechenden Webseite informiert Microsoft darüber, dass es sich bereits um die Version 2.0 des Security Bulletin handelt, was derzeit allerdings nur für die englischsprachige Ausführung gilt; das deutschsprachige Dokument trägt noch die Versionsnummer 1.3.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


keinPlan 12. Feb 2004

hat meines wissens auch paar sicherheitslücken .... Sicherheitslücken ... wie soll ichs...

Torsten 12. Feb 2004

Naja Alias schein ja zum Verkauf zu stehen .. der wahrscheinliche Käufer will noch nicht...

jaydee 12. Feb 2004

du wirst lachen: Ich hatte seinerzeit mal nen G3 bondi-blue... geiles Gerät - so habe...

hyper 12. Feb 2004

Ein wahres Wort. Mein Sys läuft jetzt 2 Jahre mit WinME, und ich kann mich ehrlich gesagt...



Aktuell auf der Startseite von Golem.de
Amazon Shopper Panel
Amazon zahlt für Überwachung des Smartphone-Datenverkehrs

Wer seinen gesamten Smartphone-Datenverkehr über Amazons Server leitet, wird mit einem monatlichen Gutschein dafür bezahlt.

Amazon Shopper Panel: Amazon zahlt für Überwachung des Smartphone-Datenverkehrs
Artikel
  1. Vodafone und Telekom: LTE-Ausbau in Berliner Bahntunneln dauert weitere Jahre
    Vodafone und Telekom
    LTE-Ausbau in Berliner Bahntunneln dauert weitere Jahre

    Laut Senatsverwaltung kam der Ausbau der Base-Transceiver-Station-Hotels nicht wie geplant voran. Nicht nur die Kunden von Vodafone und Telekom haben das Nachsehen.

  2. Northrop Grumman: B21 Raider als erster digitaler Bomber vorgestellt
    Northrop Grumman
    B21 Raider als erster digitaler Bomber vorgestellt

    Northrop Grumman hat mit dem B-21 Raider eine neuen Tarnkappenbomber vorgestellt. Dabei kamen agile Softwareentwicklung und digitales Engineering zum Einsatz.

  3. Soziale Netzwerke: Liken bei Hasspostings kann strafbar sein
    Soziale Netzwerke
    Liken bei Hasspostings kann strafbar sein

    Facebook-Nutzer, die nicht davor zurückschrecken, diskriminierende oder beleidigende oder Postings zu liken, sollten sich das gut überlegen. Denn das Drücken des Gefällt-mir-Buttons kann hier erhebliche rechtliche Folgen haben.
    Von Harald Büring

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • SanDisk Extreme PRO 1TB 141,86€ • Amazon-Geräte bis -53% • Mindstar: Alphacool Eiswolf 2 AiO 360 199€, AMD-Ryzen-CPUs zu Bestpreisen • Alternate: WD_BLACK P10 2TB 76,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /