• IT-Karriere:
  • Services:

Patch-Reigen für Windows

Vier gefährliche Sicherheitslücken im Internet Explorer

Wie angekündigt hat Microsoft im Monat Dezember 2007 sieben Sicherheits-Patches veröffentlicht. Wie jetzt bekannt ist, werden damit gleich elf Sicherheitslücken auf Windows-Systemen geschlossen. Allein vier Sicherheitslecks stecken im Internet Explorer und zwei Löcher weist DirectX auf. Zudem hat Microsoft den in Aussicht gestellten und von Macrovision bereits angebotenen Patch nachgereicht, um einen Fehler im Macrovision-Treiber zu beseitigen.

Artikel veröffentlicht am ,

Im Internet Explorer muss Microsoft gleich vier Sicherheitslecks schließen, die alle zum Ausführen von Programmcode missbraucht werden können. Die Fehler wurden für den Internet Explorer 5.x, 6.x sowie die aktuelle Version 7 bestätigt und werden von Microsoft als gefährlich eingestuft. Mit einem Sammel-Patch sollen die Sicherheitslücken geschlossen werden.

Stellenmarkt
  1. ElringKlinger AG, Dettingen an der Erms
  2. Cataneo GmbH, München

Gleich zwei Sicherheitslecks muss Microsoft in der Windows-Komponente DirectX beseitigen, die beide als gefährlich bewertet wurden und zur Ausführung von Schadcode missbraucht werden können. Der eine Fehler tritt bei der Verarbeitung von SAMI-Dateitypen (Synchronized Accessible Media Interchange) auf, während die andere Sicherheitslücke die Wiedergabe von WAV- oder AVI-Dateien betrifft. Mit einem Patch will Microsoft die beiden Sicherheitslücken in DirectX 8.1, 9.0c sowie 10.0 beseitigen.

Ein Windows-Fehler bei der Wiedergabe von ASF-Dateien sorgt dafür, dass Angreifer schädlichen Code ausführen können. Das Sicherheitsleck steckt in der Windows Media Format Runtime und betrifft die Windows-Systeme 2000, XP, Vista und Windows Server 2003. Ein Patch soll den Fehler korrigieren.

Ein weiteres Sicherheitsloch steckt im Protokoll für die Windows-Dateifreigabe SMB (Server Message Block), die in der Version 2 nur in Windows Vista zum Einsatz kommt. Darüber können Angreifer beliebigen Schadcode ausführen, indem sie ein manipuliertes SMB-Paket verschicken. Die Sicherheitsgefährdung stuft Microsoft lediglich als hoch ein, weil SMBv2 nur dann verwendet werden kann, wenn es sowohl vom Client als auch vom Server unterstützt wird. SMBv2 ist außer in Windows Vista nur im kommenden Windows Server 2008 enthalten. Der bereitgestellte Patch soll den Fehler in Windows Vista beheben.

Auch der Message-Queuing-Dienst von Windows weist einen Fehler auf, so dass Angreifer auf Systemen mit Windows 2000 beliebigen Code ausführen können. Auf Systemen mit Windows XP ist darüber hingegen nur eine Rechteausweitung möglich, andere Windows-Systeme sind nicht betroffen. Ein Patch schließt das Sicherheitsloch.

Ebenfalls zur Ausweitung von Benutzerrechten lässt sich ein Sicherheitsleck im Windows-Kernel ausnutzen, dazu muss der Angreifer aber lokal am System angemeldet sein. Dieses Sicherheitsleck steckt nur in Windows Vista und soll mit einem Patch beseitigt werden.

Am diesmonatigen Patch-Day hat Microsoft außerdem den Patch für den Macrovision-Treiber veröffentlicht, den Macrovision bereits seit Anfang November 2007 anbietet. Das Sicherheitsloch eignet sich dazu, sich erhöhte Rechte zu verschaffen und betrifft Windows 2000, XP sowie Windows Server 2003.

Alle genannten Sicherheits-Patches verteilt Microsoft auch über die Update-Funktion des Betriebssystems, so dass diese darüber gesammelt heruntergeladen werden können. Der letztjährige Microsoft-Patch-Day zeigt, dass der Software-Konzern im Jahr 2007 fast 70 Sicherheits-Patches veröffentlicht hat, um Fehler in seinen Produkten zu beseitigen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Angebote zu Spielen, PC- und Konsolen-Zubehör, Laptops und Fernsehern)
  2. (u. a. LG OLED65CX9LA 65 Zoll OLED 120Hz für 1.799€, Sony KE-85XH9096 85 Zoll LED für 1...
  3. 745€ (Bestpreis)

fritz otto 15. Dez 2007

"unknown hat Fehler verursacht und wird geschlossen..." Diese Fehlermeldung kommt...

Mal anders 13. Dez 2007

Hallo Herr Schnell ! Die Veröffentlichung der Sicherheitslücken, durch Dritte oder...

Mac OS X 4 Ever 12. Dez 2007

Uahahahahaha! Uahahahahahahahahahaha! Uahaah! Uahahahahaha!!!! Uahaha...


Folgen Sie uns
       


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /