Abo
  • Services:

Microsofts wahrer Patch-Day im April

Vier Sicherheits-Patches für Windows

Vor einer Woche hat Microsoft bereits einen Sicherheits-Patch veröffentlicht, um eine Sicherheitslücke bei der Darstellung animierter Cursor zu schließen. Am regulären Patch-Day für den Monat April 2007 hat Microsoft sechs Sicherheitslecks in Windows sowie zwei Sicherheitslücken im Content Management Server mit Patches bedacht.

Artikel veröffentlicht am ,

In Windows 2000, XP sowie Windows Server 2003 wurde ein Fehler in der Komponente Microsoft Agent gefunden, der mit Hilfe einer speziell gestalteten URL ausgenutzt werden kann. Ein Angreifer könnte dann beliebigen Programmcode ausführen. Diesen Fehler soll ein bereitgestellter Patch korrigieren.

Stellenmarkt
  1. init SE, Karlsruhe
  2. zeb/rolfes.schierenbeck.associates gmbh, Münster

Ein weiterer Sicherheits-Patch für Windows 2000, XP, Vista und Windows Server 2003 korrigiert gleich drei Fehler im Client/Server-Runtime-Subsystem (CSRSS). Eine dieser drei Sicherheitslücken kann zur Ausführung von Programmcode missbraucht werden, während ein weiterer Fehler zur Ausweitung von Nutzerrechten genutzt werden kann, der Microsoft bereits vor knapp vier Monaten gemeldet wurde. Das dritte Sicherheitsloch erlaubt einem Angreifer eine Denial-of-Service-Attacke.

Ein Fehler im UPnP-Service (Universelles Plug & Play) von Windows XP kann mit Hilfe präparierter HTTP-Anfragen ausgenutzt werden, um beliebigen Programmcode auszuführen. Diesen nur für Windows XP bestätigten Fehler soll der nun veröffentlichte Patch korrigieren. Ein Sicherheitsloch im Kernel von Windows 2000, XP sowie Windows Server 2003 erlaubt einem angemeldeten Nutzer die Ausweitung von Nutzerrechten, um so etwa Schadcode auszuführen. Der Fehler wurde Microsoft bereits Mitte Januar 2007 gemeldet, aber Redmond hat nun erst nach knapp drei Monaten reagiert.

Schließlich hat Microsoft zwei Sicherheitslücken im Content Management Server 2001 sowie 2002 geschlossen. Durch die Verarbeitung von HTTP-Anforderungen kann ein Angreifer Schadcode einschleusen und ein fremdes System unter seine Kontrolle bringen. Als zweites Sicherheitsleck werden HTML-Umleitungsabfragen nicht korrekt überprüft, so dass ein Angreifer sein Opfer zur Ausführung von Script-Code verleiten kann.

Anlässlich des diesmonatigen Patch-Days verteilt Microsoft den Patch für den Patch zum Schließen der Sicherheitslücke bei der Anzeige animierter Cursor über das Microsoft-Update-System. Eine Korrektur des eigentlichen Patches gibt es bislang nicht. Somit müssen Nutzer auf Rechnern mit Realtek-Soundchip oder bei Verwendung des Elsterformulars 2006/2007 weiterhin mit Schwierigkeiten rechnen, bis der Patch für den Patch eingespielt wurde.



Anzeige
Top-Angebote
  1. 359,00€ (Preis-Leistungs-Award von PCGH erhalten!)
  2. (u. a. Assassins Creed Odyssey 36,99€, Dark Souls III 12,99€, Rainbow Six Siege 12,99€)
  3. (u. a. TP-Link Switch 15,99€)
  4. 139,99€

strudelbrain 11. Apr 2007

ROFL. Ja, der Bug ist eigentlich kein Bug, sondern macht UPnP nun endlich zu dem, was es...

strudelbrain 11. Apr 2007

Und Raub begehen sie auch nicht und mit fünf Jahren Gefängnis werden sie auch nicht...

nix 11. Apr 2007

dann steig um auf opensuse oder mac und lass windows nur noch in einer vm laufen... aber...


Folgen Sie uns
       


Pocophone F1 - Test

Das Pocophone F1 gehört zu den günstigsten Topsmartphones auf dem Markt - nur 330 Euro müssen Käufer für das Gerät bezahlen. Dafür bekommen sie eine Dualkamera und einen Snapdragon 845. Wer mit ein paar Kompromissen leben kann, macht mit dem Smartphone nichts falsch.

Pocophone F1 - Test Video aufrufen
Job-Porträt Cyber-Detektiv: Ich musste als Ermittler über 1.000 Onanie-Videos schauen
Job-Porträt Cyber-Detektiv
"Ich musste als Ermittler über 1.000 Onanie-Videos schauen"

Online-Detektive müssen permanent löschen, wo unvorsichtige Internetnutzer einen digitalen Flächenbrand gelegt haben. Mathias Kindt-Hopffer hat Golem.de von seinem Berufsalltag erzählt.
Von Maja Hoock

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp
  3. IT-Jobs "Jedes Unternehmen kann es besser machen"

Amazons Echo Show (2018) im Test: Auf keinem anderen Echo-Gerät macht Alexa so viel Freude
Amazons Echo Show (2018) im Test
Auf keinem anderen Echo-Gerät macht Alexa so viel Freude

Die zweite Generation des Echo Show ist da. Amazon hat viele Kritikpunkte am ersten Modell beseitigt. Der Neuling hat ein größeres Display als das Vorgängermodell und das sorgt für mehr Freude bei der Benutzung. Trotz vieler Verbesserungen ist nicht alles daran perfekt.
Ein Test von Ingo Pakalski

  1. Update für Alexa-Display im Hands on Browser macht den Echo Show viel nützlicher
  2. Amazon Echo Show mit Browser, Skype und großem Display

Serverless Computing: Mehr Zeit für den Code
Serverless Computing
Mehr Zeit für den Code

Weniger Verwaltungsaufwand und mehr Automatisierung: Viele Entwickler bauen auf fertige Komponenten aus der Cloud, um die eigenen Anwendungen aufzubauen. Beim Serverless Computing verschwinden die benötigten Server unter einer dicken Abstraktionsschicht, was mehr Zeit für den eigenen Code lässt.
Von Valentin Höbel

  1. Kubernetes Cloud Discovery inventarisiert vergessene Cloud-Native-Apps
  2. T-Systems Deutsche Telekom will Cloud-Firmen kaufen
  3. Trotz hoher Gewinne Wieder Stellenabbau bei Microsoft

    •  /