Abo
  • Services:
Anzeige

10 Sicherheitslücken in Microsoft-Produkten

Internet Explorer nun wieder ohne Eolas-Hürde

In den Windows-Versionen hat Microsoft sechs Sicherheitslecks beseitigt, die in der Mehrzahl zum Ausführen von Schadcode missbraucht werden können. Das Gleiche gilt auch für ein Sicherheitsloch im Internet Explorer, der nun keine Eolas-Hürde mehr aufweist. Dabei ist auch Windows Vista mit Service Pack 1 für einige der nun bekanntgewordenen Sicherheitslücken anfällig.

Die Windows-Komponenten VBScript und JScript weisen ein kritisches Sicherheitsleck auf, so dass Angreifer über entsprechend gestaltete Webseiten beliebigen Programmcode auf einem fremden System ausführen können. Der Patch für die Windows-Plattform steht als Download bereit. In Windows Vista sowie Windows Server 2008 befindet sich dieses Sicherheitsleck nicht.

Anzeige

Ein weiteres als gefährlich eingestuftes Sicherheitsloch steckt im ActiveX-Objekt hxvz.dll und findet sich in allen Windows-Ausführungen, einschließlich Windows Vista mit Service Pack 1. Auch hier müssen Angreifer ihre Opfer lediglich dazu bringen, eine entsprechend manipulierte Webseite aufzurufen, um Schadcode auszuführen. Der bereitgestellte Patch soll den Fehler beseitigen.

Ebenfalls zur Ausführung von Schadcode lässt sich eine als gefährlich eingestufte Sicherheitslücke in allen Versionen des Internet Explorer missbrauchen. Dazu wird der Systemspeicher von einem Angreifer durch speziell gestaltete Datenströme gezielt durcheinandergebracht. Mit einem Patch wird der Fehler korrigiert, der auch Windows Vista mit Service Pack 1 betrifft. Mit diesem Patch wird auch wie angekündigt die Eolas-Hürde wieder aus dem Browser beseitigt. Von nun an müssen Anwender das Laden einiger ActiveX-Controls nicht mehr explizit bestätigen.

Zwei weitere als gefährlich klassifizierte Sicherheitslücken befinden sich in der Windows-Komponente Graphics Device Interface (GDI). Angreifer können schadhaften Programmcode ausführen, indem sie eine EMF- oder WMF-Datei manipulieren und ein Opfer zum Öffnen dieser Dateien veranlassen. Das eine Sicherheitsleck wird durch einen Stapelüberlauf verursacht, während das andere Sicherheitsloch durch einen Pufferüberlauf ausgelöst wird. Mit einem Patch werden diese beiden Sicherheitslecks geschlossen, die die gesamte Windows-Plattform betreffen, also auch im Service Pack 1 für Windows Vista.

Dies gilt auch für ein Sicherheitsleck im Windows-Kernel, über den sich Angreifer erhöhte Rechte verschaffen können, um dann beliebige Programme installieren oder Dateien löschen zu können. Der Angreifer muss dazu am System angemeldet sein, weshalb Microsoft das Risiko nur als hoch einschätzt. Ein Patch für alle Windows-Systeme soll den Fehler bereinigen.

Ein Spoofing-Angriff ist über einen Fehler im DNS-Client der Windows-Plattform möglich. Das mit einem Patch geschlossene Sicherheitsleck wird als hohes Risiko bewertet. Nur Windows Vista mit installiertem Service Pack 1 sowie Windows Server 2008 sind von dem Problem nicht betroffen.

Ein weiterer Sicherheits-Patch beseitigt zwei mit einer hohen Gefährdungsstufe versehene Sicherheitslöcher in der Office-Komponente Visio. Mit Hilfe manipulierter DXF-Dateien oder speziell gestalteter Visio-Dateien kann ein Angreifer Schadcode ausführen. Denn beim Öffnen von Visio-Dateien werden Objektheaderdaten nicht korrekt analysiert und beim Anzeigen von DXF-Dateien werden die Speicherzuordnungen fehlerhaft geprüft. Diese beiden Sicherheitslücken stecken in der Visio-Version von Office XP, 2003 und 2007.

Außerdem schlummert in Microsofts Project 2000, 2002 sowie 2003 ein als kritisch eingestuftes Sicherheitsleck, über das Angreifer durch eine manipulierte Project-Datei beliebigen Code ausführen können, weil die Zuweisung von Speicherressourcen fehlerhaft arbeitet. Der Project Server 2003 und 2007 sowie Project 2007 sind von dem Sicherheitsloch nicht betroffen. Mit dem nun veröffentlichten Sicherheits-Patch soll dieser Fehler korrigiert werden.

Alle genannten Sicherheits-Patches verteilt Microsoft auch über die Update-Funktion des Betriebssystems, so dass diese darüber gesammelt heruntergeladen werden können.


eye home zur Startseite
kiste 18. Apr 2008

is klar sind natürlich immer die anderen schuld. gestern noch nvidia heute wieder die...

You Sehr 09. Apr 2008

patcht ist denglisch!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1111111111111 genau deshalb benutz ich...

agre 09. Apr 2008

Genial. Ich wusste, dass dieser Satz hier auftaucht. Wirklich cool. Hoffe, dass noch mehr...

Ekud 09. Apr 2008

Die Frage würde mich auch interessieren, woher willst du es wissen? Bzw die langhaarigen...

^Andreas... 09. Apr 2008

Du meinst eine "Alpha". Die "Beta" entspricht doch 1:1 der finalen Verkaufsversion ;)



Anzeige

Stellenmarkt
  1. VEMA Versicherungs-Makler-Genossenschaft e.G., Karlsruhe
  2. GERMANIA Fluggesellschaft mbH, Berlin
  3. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  4. Schwarz Dienstleistung KG, Neckarsulm


Anzeige
Top-Angebote
  1. 48,00€
  2. 29,00€
  3. 239,00€ inkl. Versand (Vergleichspreis ab 273,59€)

Folgen Sie uns
       


  1. Netzneutralität abgeschafft

    Die doppelte Selbstentmachtung der US-Internetaufsicht

  2. Private Division

    Rockstar-Games-Firma gründet Ableger für AAA-Indiegames

  3. Klage erfolgreich

    BND darf deutsche Metadaten nicht beliebig sammeln

  4. Neuer Bericht

    US-Behörden sollen kommerzielle Cloud-Dienste nutzen

  5. Übernahme

    Walt Disney kauft Teile von 21st Century Fox

  6. Deep Learning

    Googles Cloud-TPU-Cluster nutzen 4 TByte HBM-Speicher

  7. Leistungsschutzrecht

    EU-Staaten uneins bei Urheberrechtsreform

  8. E-Ticket Deutschland bei der BVG

    Bewegungspunkt am Straßenstrich

  9. Star Wars

    The-Last-Jedi-Update für Battlefront 2 veröffentlicht

  10. Airport mit 802.11n und neuere

    Apple sichert seine WLAN-Router gegen Krack-Angriff ab



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

King's Field 1 (1994): Die Saat für Dark Souls
King's Field 1 (1994)
Die Saat für Dark Souls
  1. Blade Runner (1997) Die unsterbliche, künstliche Erinnerung
  2. SNES Classic Mini im Vergleichstest Putzige Retro-Konsole mit suboptimaler Emulation

Bundesregierung: Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
Bundesregierung
Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
  1. Druck der Filmwirtschaft EU-Parlament verteidigt Geoblocking bei Fernsehsendern
  2. Rechtsunsicherheit bei Cookies EU warnt vor Verzögerung von ePrivacy-Verordnung
  3. Datenschutz EU-Parlament stimmt ePrivacy-Verordnung zu

  1. Bundesnetzagentur muss seiner Verantwortung...

    jones1024 | 07:43

  2. Re: Warum das Zeug nicht einfach ins Gießwasser...

    Sarkastius | 07:22

  3. Re: Wo kommt die Energie dafür her?

    Sarkastius | 07:21

  4. Re: Das ist das ENDE von Star Citizen

    Ipa | 07:20

  5. Re: Da stellt sich dann doch die Frage...

    Spike79 | 07:16


  1. 07:17

  2. 16:10

  3. 15:30

  4. 15:19

  5. 14:50

  6. 14:44

  7. 14:43

  8. 14:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel