Zwei gefährliche Sicherheitslöcher in Windows

Ein weiteres kritisches Sicherheitsloch in Microsoft Word. Microsoft stellt am Patch-Day für den Monat Juli 2005 insgesamt drei Patches zur Verfügung, um Sicherheitslücken zu schließen, über die Angreifer beliebigen Programmcode auf fremden Systemen ausführen können, um sich so eine umfassende Kontrolle über andere Rechner zu verschaffen. Zwei der Sicherheitslücken betreffen Windows, während ein Sicherheitsleck in Microsoft Word steckt.

13. Juli 2005 um 09:35 Uhr / Ingo Pakalski

12 Kommentare Auf Google folgen (öffnet im neuen Fenster)

Eines der Sicherheitslecks steckt im Farbverwaltungsmodul von Windows, worüber Angreifer über einen ungeprüften Datenpuffer beliebigen Programmcode ausführen können, wenn sie ihr Opfer dazu bewegen, eine entsprechend bearbeitete Bilddatei zu öffnen. Diese kann etwa in eine Webseite oder HTML-E-Mail eingebunden sein. Microsoft bietet Patches für Windows 2000, XP sowie Windows Server 2003 zum Download(öffnet im neuen Fenster) an.

Eigentlich war erwartet worden, dass Microsoft ein umfangreicheres Update für Microsofs Java Virtual Machine veröffentlichen wird, um ein im Zusammenhang mit dem Internet Explorer bekannt gewordenes Sicherheitsloch zu bereinigen. Stattdessen hat der Hersteller den bereits verfügbaren Patch im Rahmen des Patch-Day nochmals veröffentlicht. Damit wird durch Setzen eines so genannten "Kill Bits" verhindert, dass die Sicherheitsanfälligkeit ausgenutzt werden kann, weil entsprechende Objekte nicht mehr im Internet Explorer ausgeführt werden. Damit könnte die Funktionsweise von Microsofts Java Virtual Machine beeinträchtigt werden, so dass man besser auf eine Java Virtual Machine eines anderen Herstellers wechselt. Der Sicherheits-Patch steht für Windows 2000, XP sowie Windows Server 2003 zum Download(öffnet im neuen Fenster) bereit.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)

Mitarbeiterinnen / Mitarbeiter (w/m/d) im Bereich Data Intelligence Bundesnachrichtendienst, Berlin (öffnet im neuen Fenster)

Data Quality and BI Governance Manager (w/m/d) Deutsche Glasfaser Unternehmensgruppe, Düsseldorf (öffnet im neuen Fenster)

IT Consultant Production Execution (m/w/d) Hochland SE, Heimenkirch (öffnet im neuen Fenster)

Datenbankentwickler (m/w/d) Oracle APEX TRIOLOGY GmbH, Braunschweig (öffnet im neuen Fenster)

Sachbearbeiter für die Bereiche IT und Digitalisierung (m/w/d) Gemeinde Anröchte, Anröchte (öffnet im neuen Fenster)

Prozessmanager Workflowmanagement (m/w/d) GO! Express & Logistics Deutschland GmbH, Bonn (öffnet im neuen Fenster)

Senior Manager Digitalisierung & Prozessmanagement (m/w/d) Schrobsdorff Bau AG, Berlin (öffnet im neuen Fenster)

SAP Key User mit Schwerpunkt Materialstamm/Klassifizierung (w/m/d) Hensoldt, Oberkochen,Aalen,Taufkirchen,Ulm,Immenstaad (öffnet im neuen Fenster)

Ein von iDefense entdecktes(öffnet im neuen Fenster) Sicherheitsloch in Word 2000 sowie 2002 führt dazu, dass Angreifer beliebigen Programmcode ausführen können, wenn Opfer dazu gebracht werden, entsprechend präparierte Word-Dokumente zu öffnen. Der Fehler betrifft die Programmroutinen bei der Font-Verarbeitung in Word. Ein entsprechendes Update steht ab sofort kostenlos für Word 2000 und 2002 zum Download(öffnet im neuen Fenster) bereit.

Alle genannten Sicherheitslücken werden von Microsoft als kritisch eingestuft, so dass die betreffenden Patches zügig eingespielt werden sollten. Alle Patches stehen auch über die Update-Funktionen der betreffenden Produkte bereit.

Zur Startseite 12 Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Microsoft deaktiviert eigenes Java aus Sicherheitsgründen

Patch für Internet Explorer erst zu einem späteren Zeitpunkt geplant. Nachdem seit dem vergangenen Wochenende Exploit-Code für eine Sicherheitslücke im Internet Explorer entdeckt wurde, bietet Microsoft nun eine Umgehung des Problems an, indem Redmonds Java Virtual Machine mit einem Update deaktiviert wird. Erst zu einem späteren Zeitpunkt will Microsoft für das Sicherheitsloch einen Patch anbieten, der dann voraussichtlich nicht gleich alle Java-Funktionen deaktiviert.

Sicherheitsleck in ftp-Funktion vom Internet Explorer

Angreifer können Dateien in beliebigem Verzeichnis ablegen. In der ftp-Funktion vom Internet Explorer 6.0 wurde ein Sicherheitsleck entdeckt, worüber Angreifer Dateien in beliebigen Verzeichnissen ablegen können, was etwa dazu missbraucht werden kann, wichtige Dateien zu überschreiben. Zur Ausnutzung der Sicherheitsanfälligkeit müssen Dateien auf einem ftp-Server entsprechend präpariert werden.

Browser-Fehler: Opera hat reagiert, Microsoft plant nichts

Etliche Web-Browser geben Herkunft von JavaScript-Dialogboxen nicht preis. Am gestrigen 21. Juni 2005 wiesen die Sicherheitsspezialisten von Secunia auf eine Spoofing-Sicherheitsanfälligkeit in zahlreichen Web-Browsern hin, die als ungefährlich eingestuft wurde. Aber dennoch bietet Opera bereits seit ein paar Tagen eine aktualisierte Version des Browsers an, um das dahinter stehende Risiko zu minimieren, während Microsoft überhaupt keinen Handlungsbedarf sieht.

Relevante Themen