Patch-Day nimmt Windows-Lücken und Office-Löcher ins Visier

In Windows XP sowie in der 64-Bit-Edition des Betriebssystems steckt ein weiteres Sicherheitsleck, worüber man via Internet ohne entsprechende Berechtigung den Nutzernamen über eine offene Verbindung auslesen kann. Das Sicherheitsloch steckt in den Named Pipes, worüber Prozesse miteinander kommunizieren. Die Sicherheitslücke wird nur wirksam, wenn der Computer-Browser aktiviert ist, was in Windows XP Service Pack 1 standardmäßig der Fall ist, aber nicht im Windows XP Service Pack 2. Für die betreffenden Windows-XP-Versionen stehen Patches über ein Security Bulletin zum Download zur Verfügung.

Stellenmarkt
  1. IT-Specialist Operations (m/w/d)
    über Hays AG, Springe
  2. IT-Systembetreuer (w/m/d)
    über CORVENTIS GmbH, Großraum Ulm/Memmingen/Ravensburg
Detailsuche

Über ein schweres Sicherheitsleck in den Office-XP-Applikationen Word und PowerPoint kann ein Angreifer über einen Buffer Overrun beliebigen Programmcode auf einem entsprechenden System ausführen. Der Buffer Overrun tritt bei der Verarbeitung von URLs auf, wenn ein Angreifer diese entsprechend manipuliert. Zur Ausnutzung des Sicherheitslecks müssen Nutzer von Office-XP-Applikationen lediglich dazu gebracht werden, einen entsprechend präparierten Link zu öffnen, der etwa in einer E-Mail oder auf einer Webseite enthalten sein kann. Da das Sicherheitsleck in Word 2002 und PowerPoint 2002 steckt, findet sich das Sicherheitsloch auch in den Produkten Works Suite 2002, 2003 sowie 2004 und Project 2002 sowie Visio 2002. Sowohl in Office 2000 als auch in Office 2003 kann dieses Sicherheitsloch nicht ausgenutzt werden. Microsoft bietet einen Patch über das Security Bulletin an.

Ein Sicherheitsloch in Microsofts .NET Framework der Versionen 1.0 sowie 1.1 gestattet einem Angreifer, die Sicherheitsschranken einer ASP.NET-Webseite zu umgehen und sich so unberechtigten Zugriff zu einer betreffenden Seite zu verschaffen. Der Angreifer kann dann zahlreiche Aktionen ausführen, was vom Inhalt der betreffenden Webseite abhängt. Ein Patch steht via Security Bulletin zum Download bereit.

Ein weiteres Sicherheitsloch wurde schließlich in den SharePoint Services und den SharePoint Team Services entdeckt. Über eine Cross-Site-Scritping-Sicherheitslücke kann ein Angreifer ein Opfer dazu bringen, schadhaften Script-Code in den eingestellten Sicherheitseinstellungen auszuführen, indem das Opfer auf eine entsprechend präparierte Webseite gelockt wird. Ein über das Security Bulletin bereitgestellter Patch beseitigt das Sicherheitsloch.

Golem Akademie
  1. SAMBA Datei- und Domänendienste einrichten: virtueller Drei-Tage-Workshop
    15.–17. November 2021, Virtuell
  2. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
Weitere IT-Trainings

Alle hier genannten Sicherheits-Patches sollen außer über die betreffenden Security Bulletins auch über die Windows-Update-Funktion verfügbar sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Patch-Day nimmt Windows-Lücken und Office-Löcher ins Visier
  1.  
  2. 1
  3. 2
  4. 3


mcfritt 10. Feb 2005

Oh Mann, würdest du die sehr guten Microsoft Produkte benutzen, müsstest du nie...

Star 09. Feb 2005

Hallo, ich habe aufgrund der Skripte die von der C't angeboten wurden einen Downloader...

smilingrasta 09. Feb 2005

"Dadurch kann sich ein Angreifer im schlimmsten Fall eine umfassende Kontrolle über ein...



Aktuell auf der Startseite von Golem.de
Informatik-Professorin im Porträt
"Programmieren lernen tut weh"

Doris Aschenbrenner ist eine der jüngsten Professorinnen für Informatik in Deutschland. Ein Porträt über eine Frau mit einer großen Liebe für Roboter.
Ein Porträt von Peter Ilg

Informatik-Professorin im Porträt: Programmieren lernen tut weh
Artikel
  1. Streaming: Google droht mit Youtube-Aus auf Roku-Geräten
    Streaming
    Google droht mit Youtube-Aus auf Roku-Geräten

    Roku wirft Google eine unfaire Behandlung vor und will erreichen, dass die Youtube-App weiterhin für Roku-Geräte verfügbar bleibt.

  2. Wie die Deutsche Bahn auf Distributed Ledger setzt
     
    Wie die Deutsche Bahn auf Distributed Ledger setzt

    Die Deutsche Bahn beschäftigt sich seit 2018 intensiv mit der Blockchain-Technologie. Die Ansätze reichen von dezentraler Mobilität und Verkehrssteuerung über gesicherte digitale Identitäten bis hin zu papierlosen Transportketten.
    Sponsored Post von Deutsche Bahn

  3. Plugin-Hybride: Endet die Förderung trotz höherer Reichweiten?
    Plugin-Hybride
    Endet die Förderung trotz höherer Reichweiten?

    Die Plugin-Hybride der Mercedes C-Klasse sollen elektrisch mehr als 100 km weit kommen. Doch die Ampelkoalition könnte die umstrittene Förderung streichen.
    Von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 in Kürze bestellbar • Seagate Exos 18TB 319€ • Alternate-Deals (u. a. Asus B550-Plus Maiboard 118€) • Speicherprodukte von Sandisk & WD zu Bestpreisen (u. a. Sandisk SSD Plus 2TB 140,99€) • Apple MacBook Pro 2021 ab 2.249€ • EA-Spiele günstiger [Werbung]
    •  /