• IT-Karriere:
  • Services:

10 Sicherheitslücken in Microsoft-Produkten

Internet Explorer nun wieder ohne Eolas-Hürde

In den Windows-Versionen hat Microsoft sechs Sicherheitslecks beseitigt, die in der Mehrzahl zum Ausführen von Schadcode missbraucht werden können. Das Gleiche gilt auch für ein Sicherheitsloch im Internet Explorer, der nun keine Eolas-Hürde mehr aufweist. Dabei ist auch Windows Vista mit Service Pack 1 für einige der nun bekanntgewordenen Sicherheitslücken anfällig.

Artikel veröffentlicht am ,

Die Windows-Komponenten VBScript und JScript weisen ein kritisches Sicherheitsleck auf, so dass Angreifer über entsprechend gestaltete Webseiten beliebigen Programmcode auf einem fremden System ausführen können. Der Patch für die Windows-Plattform steht als Download bereit. In Windows Vista sowie Windows Server 2008 befindet sich dieses Sicherheitsleck nicht.

Stellenmarkt
  1. Kassenärztliche Vereinigung Bremen, Bremen
  2. Zurich Kunden Center, Frankfurt am Main

Ein weiteres als gefährlich eingestuftes Sicherheitsloch steckt im ActiveX-Objekt hxvz.dll und findet sich in allen Windows-Ausführungen, einschließlich Windows Vista mit Service Pack 1. Auch hier müssen Angreifer ihre Opfer lediglich dazu bringen, eine entsprechend manipulierte Webseite aufzurufen, um Schadcode auszuführen. Der bereitgestellte Patch soll den Fehler beseitigen.

Ebenfalls zur Ausführung von Schadcode lässt sich eine als gefährlich eingestufte Sicherheitslücke in allen Versionen des Internet Explorer missbrauchen. Dazu wird der Systemspeicher von einem Angreifer durch speziell gestaltete Datenströme gezielt durcheinandergebracht. Mit einem Patch wird der Fehler korrigiert, der auch Windows Vista mit Service Pack 1 betrifft. Mit diesem Patch wird auch wie angekündigt die Eolas-Hürde wieder aus dem Browser beseitigt. Von nun an müssen Anwender das Laden einiger ActiveX-Controls nicht mehr explizit bestätigen.

Zwei weitere als gefährlich klassifizierte Sicherheitslücken befinden sich in der Windows-Komponente Graphics Device Interface (GDI). Angreifer können schadhaften Programmcode ausführen, indem sie eine EMF- oder WMF-Datei manipulieren und ein Opfer zum Öffnen dieser Dateien veranlassen. Das eine Sicherheitsleck wird durch einen Stapelüberlauf verursacht, während das andere Sicherheitsloch durch einen Pufferüberlauf ausgelöst wird. Mit einem Patch werden diese beiden Sicherheitslecks geschlossen, die die gesamte Windows-Plattform betreffen, also auch im Service Pack 1 für Windows Vista.

Dies gilt auch für ein Sicherheitsleck im Windows-Kernel, über den sich Angreifer erhöhte Rechte verschaffen können, um dann beliebige Programme installieren oder Dateien löschen zu können. Der Angreifer muss dazu am System angemeldet sein, weshalb Microsoft das Risiko nur als hoch einschätzt. Ein Patch für alle Windows-Systeme soll den Fehler bereinigen.

Ein Spoofing-Angriff ist über einen Fehler im DNS-Client der Windows-Plattform möglich. Das mit einem Patch geschlossene Sicherheitsleck wird als hohes Risiko bewertet. Nur Windows Vista mit installiertem Service Pack 1 sowie Windows Server 2008 sind von dem Problem nicht betroffen.

Ein weiterer Sicherheits-Patch beseitigt zwei mit einer hohen Gefährdungsstufe versehene Sicherheitslöcher in der Office-Komponente Visio. Mit Hilfe manipulierter DXF-Dateien oder speziell gestalteter Visio-Dateien kann ein Angreifer Schadcode ausführen. Denn beim Öffnen von Visio-Dateien werden Objektheaderdaten nicht korrekt analysiert und beim Anzeigen von DXF-Dateien werden die Speicherzuordnungen fehlerhaft geprüft. Diese beiden Sicherheitslücken stecken in der Visio-Version von Office XP, 2003 und 2007.

Außerdem schlummert in Microsofts Project 2000, 2002 sowie 2003 ein als kritisch eingestuftes Sicherheitsleck, über das Angreifer durch eine manipulierte Project-Datei beliebigen Code ausführen können, weil die Zuweisung von Speicherressourcen fehlerhaft arbeitet. Der Project Server 2003 und 2007 sowie Project 2007 sind von dem Sicherheitsloch nicht betroffen. Mit dem nun veröffentlichten Sicherheits-Patch soll dieser Fehler korrigiert werden.

Alle genannten Sicherheits-Patches verteilt Microsoft auch über die Update-Funktion des Betriebssystems, so dass diese darüber gesammelt heruntergeladen werden können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. ZOTAC GeForce RTX 3070 Twin Edge OC für 679€, GIGABYTE GeForce RTX 3090 VISION OC 24G...
  2. 171,19€ (Bestpreis)
  3. (u. a. WD Black P10 5TB für 98,56€, Snakebyte Gaming Seat Evo für 139,94€, Thrustmaster TX...
  4. 299,90€

kiste 18. Apr 2008

is klar sind natürlich immer die anderen schuld. gestern noch nvidia heute wieder die...

You Sehr 09. Apr 2008

patcht ist denglisch!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1111111111111 genau deshalb benutz ich...

agre 09. Apr 2008

Genial. Ich wusste, dass dieser Satz hier auftaucht. Wirklich cool. Hoffe, dass noch mehr...

Ekud 09. Apr 2008

Die Frage würde mich auch interessieren, woher willst du es wissen? Bzw die langhaarigen...

^Andreas... 09. Apr 2008

Du meinst eine "Alpha". Die "Beta" entspricht doch 1:1 der finalen Verkaufsversion ;)


Folgen Sie uns
       


Watch Dogs Legion - Raytracing im Vergleich

Wir zeigen die Auswirkungen von Raytracing-Spiegelungen im integrierten Benchmark von Watch Dogs Legion. Dort wie im Spiel reflektieren Wasserfläche, etwa Pfützen, sowie Glas und Metall - also Fenster oder Fahrzeuge - die Umgebung dynamisch in Echtzeit.

Watch Dogs Legion - Raytracing im Vergleich Video aufrufen
Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus

Futuristische Schwebebahn im Testbetrieb: Verkehrsmittel der Zukunft für die dritte Dimension
Futuristische Schwebebahn im Testbetrieb
Verkehrsmittel der Zukunft für die dritte Dimension

Eine Schwebebahn für die Stadt, die jeden Passagier zum Wunschziel bringt - bequem, grün, ohne Stau und vielleicht sogar kostenlos. Ist das realistisch?
Ein Bericht von Werner Pluta

  1. ÖPNV Infraserv Höchst baut Wasserstofftankstelle für Züge

Demon's Souls im Test: Düsternis auf Basis von 10,5 Tflops
Demon's Souls im Test
Düsternis auf Basis von 10,5 Tflops

Das Remake von Demon's Souls ist das einzige PS5-Spiel von Sony, das nicht für die PS4 erscheint - und ein toller Einstieg in die Serie!
Von Peter Steinlechner


      •  /