10 Sicherheitslücken in Microsoft-Produkten

Internet Explorer nun wieder ohne Eolas-Hürde

In den Windows-Versionen hat Microsoft sechs Sicherheitslecks beseitigt, die in der Mehrzahl zum Ausführen von Schadcode missbraucht werden können. Das Gleiche gilt auch für ein Sicherheitsloch im Internet Explorer, der nun keine Eolas-Hürde mehr aufweist. Dabei ist auch Windows Vista mit Service Pack 1 für einige der nun bekanntgewordenen Sicherheitslücken anfällig.

Artikel veröffentlicht am ,

Die Windows-Komponenten VBScript und JScript weisen ein kritisches Sicherheitsleck auf, so dass Angreifer über entsprechend gestaltete Webseiten beliebigen Programmcode auf einem fremden System ausführen können. Der Patch für die Windows-Plattform steht als Download bereit. In Windows Vista sowie Windows Server 2008 befindet sich dieses Sicherheitsleck nicht.

Stellenmarkt
  1. Expertise Lead (m/w/d) Fraud Prevention
    ING Deutschland, Frankfurt, Nürnberg, Hannover
  2. Teamleiter (w/m/d) Cloudlösungen für die Energiewirtschaft - Digital Layer
    EnBW Energie Baden-Württemberg AG, Karlsruhe
Detailsuche

Ein weiteres als gefährlich eingestuftes Sicherheitsloch steckt im ActiveX-Objekt hxvz.dll und findet sich in allen Windows-Ausführungen, einschließlich Windows Vista mit Service Pack 1. Auch hier müssen Angreifer ihre Opfer lediglich dazu bringen, eine entsprechend manipulierte Webseite aufzurufen, um Schadcode auszuführen. Der bereitgestellte Patch soll den Fehler beseitigen.

Ebenfalls zur Ausführung von Schadcode lässt sich eine als gefährlich eingestufte Sicherheitslücke in allen Versionen des Internet Explorer missbrauchen. Dazu wird der Systemspeicher von einem Angreifer durch speziell gestaltete Datenströme gezielt durcheinandergebracht. Mit einem Patch wird der Fehler korrigiert, der auch Windows Vista mit Service Pack 1 betrifft. Mit diesem Patch wird auch wie angekündigt die Eolas-Hürde wieder aus dem Browser beseitigt. Von nun an müssen Anwender das Laden einiger ActiveX-Controls nicht mehr explizit bestätigen.

Zwei weitere als gefährlich klassifizierte Sicherheitslücken befinden sich in der Windows-Komponente Graphics Device Interface (GDI). Angreifer können schadhaften Programmcode ausführen, indem sie eine EMF- oder WMF-Datei manipulieren und ein Opfer zum Öffnen dieser Dateien veranlassen. Das eine Sicherheitsleck wird durch einen Stapelüberlauf verursacht, während das andere Sicherheitsloch durch einen Pufferüberlauf ausgelöst wird. Mit einem Patch werden diese beiden Sicherheitslecks geschlossen, die die gesamte Windows-Plattform betreffen, also auch im Service Pack 1 für Windows Vista.

Dies gilt auch für ein Sicherheitsleck im Windows-Kernel, über den sich Angreifer erhöhte Rechte verschaffen können, um dann beliebige Programme installieren oder Dateien löschen zu können. Der Angreifer muss dazu am System angemeldet sein, weshalb Microsoft das Risiko nur als hoch einschätzt. Ein Patch für alle Windows-Systeme soll den Fehler bereinigen.

Ein Spoofing-Angriff ist über einen Fehler im DNS-Client der Windows-Plattform möglich. Das mit einem Patch geschlossene Sicherheitsleck wird als hohes Risiko bewertet. Nur Windows Vista mit installiertem Service Pack 1 sowie Windows Server 2008 sind von dem Problem nicht betroffen.

Ein weiterer Sicherheits-Patch beseitigt zwei mit einer hohen Gefährdungsstufe versehene Sicherheitslöcher in der Office-Komponente Visio. Mit Hilfe manipulierter DXF-Dateien oder speziell gestalteter Visio-Dateien kann ein Angreifer Schadcode ausführen. Denn beim Öffnen von Visio-Dateien werden Objektheaderdaten nicht korrekt analysiert und beim Anzeigen von DXF-Dateien werden die Speicherzuordnungen fehlerhaft geprüft. Diese beiden Sicherheitslücken stecken in der Visio-Version von Office XP, 2003 und 2007.

Außerdem schlummert in Microsofts Project 2000, 2002 sowie 2003 ein als kritisch eingestuftes Sicherheitsleck, über das Angreifer durch eine manipulierte Project-Datei beliebigen Code ausführen können, weil die Zuweisung von Speicherressourcen fehlerhaft arbeitet. Der Project Server 2003 und 2007 sowie Project 2007 sind von dem Sicherheitsloch nicht betroffen. Mit dem nun veröffentlichten Sicherheits-Patch soll dieser Fehler korrigiert werden.

Alle genannten Sicherheits-Patches verteilt Microsoft auch über die Update-Funktion des Betriebssystems, so dass diese darüber gesammelt heruntergeladen werden können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


kiste 18. Apr 2008

is klar sind natürlich immer die anderen schuld. gestern noch nvidia heute wieder die...

You Sehr 09. Apr 2008

patcht ist denglisch!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1111111111111 genau deshalb benutz ich...

agre 09. Apr 2008

Genial. Ich wusste, dass dieser Satz hier auftaucht. Wirklich cool. Hoffe, dass noch mehr...

Ekud 09. Apr 2008

Die Frage würde mich auch interessieren, woher willst du es wissen? Bzw die langhaarigen...

^Andreas... 09. Apr 2008

Du meinst eine "Alpha". Die "Beta" entspricht doch 1:1 der finalen Verkaufsversion ;)



Aktuell auf der Startseite von Golem.de
Plugin-Hybride
Autoindustrie wehrt sich gegen höhere Förderauflagen

Die Regierung will die Förderung von Plugin-Hybriden nur noch von der Reichweite abhängig machen. Zudem werden künftig Kleinstautos gefördert.
Ein Bericht von Friedhelm Greis

Plugin-Hybride: Autoindustrie wehrt sich gegen höhere Förderauflagen
Artikel
  1. Windows und Office: Microsoft-Accounts funktionieren jetzt auch ohne Passwörter
    Windows und Office
    Microsoft-Accounts funktionieren jetzt auch ohne Passwörter

    Das passwortlose Anmelden wird bereits von einigen Microsoft-Kunden genutzt. Die Funktion wird nun auf alle Konten ausgeweitet.

  2. Datenleck: Daten von Autovermietung in öffentlichem Forum geteilt
    Datenleck
    Daten von Autovermietung in öffentlichem Forum geteilt

    Daten von über 130.000 Kunden einer Autovermietung in Gran Canaria werden in einem Forum angeboten. Auch Tausende Personen aus Deutschland sind betroffen.

  3. Gopro Hero 10 Black ausprobiert: Gopros neue Kamera ist die Schnellste
    Gopro Hero 10 Black ausprobiert
    Gopros neue Kamera ist die Schnellste

    Endlich ein neuer Chip und mehr Zeitlupe! Wo Gopros Action-Kamera das Vorgängermodell schlägt, konnten wir vor dem Produktstart ausprobieren.
    Von Martin Wolf

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Club-Tage: Bis zu 15% auf TVs, PCs, Monitore uvm.) • Alternate (u. a. Razer Kraken X für Konsole 34,99€) • Xiaomi 11T 5G vorbestellbar 549€ • Saturn-Deals (u. a. Samsung 55" QLED (2021) 849,15€) • Logitech-Aktion: 20%-Rabattgutschein für ASOS • XMG-Notebooks mit 250€ Rabatt [Werbung]
    •  /