Microsoft stopft drei kritische Sicherheitslücken

Kritische Sicherheitsupdates außer der Reihe. Außer der Reihe der üblichen vierwöchigen Sicherheitsupdates hat Microsoft am Abend des 30. Juli 2004 drei Sicherheitsupdates(öffnet im neuen Fenster) für kritische Sicherheitslücken im Internet Explorer veröffentlicht, darunter auch für die als Download.Ject bekannt gewordene Sicherheitslücke.

30. Juli 2004 um 23:10 Uhr / Jens Ihlenfeld

Kommentare News folgen (öffnet im neuen Fenster)

Ende Juni 2004 wurde eine Sicherheitslücke in Microsofts Internet Information Server 5 entdeckt, worüber gefährlicher Programmcode auf fremde Systeme geschleust werden konnte, wenn betroffene Webseiten mit dem Internet Explorer und aktiviertem Active Scripting besucht wurden. Die sich aus dem Szenario ergebende hohe Gefahr führte dann aber zu keinem nennenswerten Schaden, da Microsoft den Server abschalten ließ, der die schadhafte Software weiterreichen sollte. Der jetzt erschienene Patch beseitigt die dabei ausgenutzte Sicherheitslücke im Internet Explorer.

Darüber hinaus werden zwei Probleme bei BMP- und GIF-Bild-Dateien geschlossen, die beide ebenfalls Dritten die Ausführung von fremden Code auf betroffenen Systemen ermöglichen. Die BMP-Sicherheitslücke(öffnet im neuen Fenster) wurde bereits im Mai 2004 entdeckt, das Problem mit GIF-Dateien(öffnet im neuen Fenster) sogar schon im September 2003. Beide als kritisch eingeschätzte Sicherheitslücken standen bis heute offen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: Linux-Systemadministration Grundlagen: virtueller Fünf-Tage-Workshop

zum Kurs

E-Learning: Efficient Teamwork in Microsoft Teams (E-learning in English)

zum Kurs

Microsoft empfiehlt, das auch bereits über die Windows-Update-Funktion angebotene Sammelupdate(öffnet im neuen Fenster) umgehend zu installieren und weist darauf hin, dass zur kompletten Installation ein Systemneustart nötig ist. Das Sammelupdate steht für den Internet Explorer ab Version 5.0.1 unter Windows-Systemen ab Windows NT 4.0 mit Service Pack 6 und neueren Windows-Versionen zur Verfügung.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Außerplanmäßiger Patch für den Internet Explorer geplant

Microsoft will Download-Ject-Sicherheitsproblem beseitigen. Microsoft arbeitet derzeit an einem Patch für den Internet Explorer, welcher das Sicherheitsproblem Download-Ject beseitigen soll, berichtet das US-News-Magazin eWeek.com. Allerdings wird dieser Patch nicht zu dem üblichen monatlichen Patch-Day erscheinen, sondern Microsoft will diesen bereits gesondert in der kommenden, ersten August-Woche bereitstellen.

Internet Explorer bleibt ein Sicherheitsrisiko

Abschaltung des Adodb.stream-Objektes nicht ausreichend. Auf der Sicherheits-Mailingliste Full Disclosure weisen mehrere Experten übereinstimmend darauf hin, dass die von Microsoft in Form eines Patches kürzlich bereitgestellte Umkonfiguration des Internet Explorer den Browser kaum sicherer gemacht habe. Mit der Abschaltung des Adodb.stream-Objektes wurde nur eine Unsicherheit im Browser behoben; Funktionen mit ähnlichen Möglichkeiten stünden weiterhin im Internet Explorer bereit.

Wir können auch anders: Microsoft patcht Internet Explorer

Patch deaktiviert ein beständiges Sicherheitsrisiko im Internet Explorer. Ungewöhnlich offensiv kommuniziert Microsoft per Pressemitteilung eine als Patch erschienene Modifikation für den Internet Explorer, wodurch eine zentrale Browser-Funktion deaktiviert wird. Damit schlägt Redmond einen neuen Weg ein, indem ein im Browser schlummerndes Sicherheitsrisiko abgeschaltet und entsprechenden Angriffen der Nährboden entzogen wird, anstatt wie bisher üblich neu gefundene Sicherheitslücken mit jeweils anderen Patches zu beheben.

Relevante Themen