Abo
  • Services:
Anzeige

10 Sicherheitslücken in Microsoft-Produkten

Internet Explorer nun wieder ohne Eolas-Hürde

In den Windows-Versionen hat Microsoft sechs Sicherheitslecks beseitigt, die in der Mehrzahl zum Ausführen von Schadcode missbraucht werden können. Das Gleiche gilt auch für ein Sicherheitsloch im Internet Explorer, der nun keine Eolas-Hürde mehr aufweist. Dabei ist auch Windows Vista mit Service Pack 1 für einige der nun bekanntgewordenen Sicherheitslücken anfällig.

Die Windows-Komponenten VBScript und JScript weisen ein kritisches Sicherheitsleck auf, so dass Angreifer über entsprechend gestaltete Webseiten beliebigen Programmcode auf einem fremden System ausführen können. Der Patch für die Windows-Plattform steht als Download bereit. In Windows Vista sowie Windows Server 2008 befindet sich dieses Sicherheitsleck nicht.

Anzeige

Ein weiteres als gefährlich eingestuftes Sicherheitsloch steckt im ActiveX-Objekt hxvz.dll und findet sich in allen Windows-Ausführungen, einschließlich Windows Vista mit Service Pack 1. Auch hier müssen Angreifer ihre Opfer lediglich dazu bringen, eine entsprechend manipulierte Webseite aufzurufen, um Schadcode auszuführen. Der bereitgestellte Patch soll den Fehler beseitigen.

Ebenfalls zur Ausführung von Schadcode lässt sich eine als gefährlich eingestufte Sicherheitslücke in allen Versionen des Internet Explorer missbrauchen. Dazu wird der Systemspeicher von einem Angreifer durch speziell gestaltete Datenströme gezielt durcheinandergebracht. Mit einem Patch wird der Fehler korrigiert, der auch Windows Vista mit Service Pack 1 betrifft. Mit diesem Patch wird auch wie angekündigt die Eolas-Hürde wieder aus dem Browser beseitigt. Von nun an müssen Anwender das Laden einiger ActiveX-Controls nicht mehr explizit bestätigen.

Zwei weitere als gefährlich klassifizierte Sicherheitslücken befinden sich in der Windows-Komponente Graphics Device Interface (GDI). Angreifer können schadhaften Programmcode ausführen, indem sie eine EMF- oder WMF-Datei manipulieren und ein Opfer zum Öffnen dieser Dateien veranlassen. Das eine Sicherheitsleck wird durch einen Stapelüberlauf verursacht, während das andere Sicherheitsloch durch einen Pufferüberlauf ausgelöst wird. Mit einem Patch werden diese beiden Sicherheitslecks geschlossen, die die gesamte Windows-Plattform betreffen, also auch im Service Pack 1 für Windows Vista.

Dies gilt auch für ein Sicherheitsleck im Windows-Kernel, über den sich Angreifer erhöhte Rechte verschaffen können, um dann beliebige Programme installieren oder Dateien löschen zu können. Der Angreifer muss dazu am System angemeldet sein, weshalb Microsoft das Risiko nur als hoch einschätzt. Ein Patch für alle Windows-Systeme soll den Fehler bereinigen.

Ein Spoofing-Angriff ist über einen Fehler im DNS-Client der Windows-Plattform möglich. Das mit einem Patch geschlossene Sicherheitsleck wird als hohes Risiko bewertet. Nur Windows Vista mit installiertem Service Pack 1 sowie Windows Server 2008 sind von dem Problem nicht betroffen.

Ein weiterer Sicherheits-Patch beseitigt zwei mit einer hohen Gefährdungsstufe versehene Sicherheitslöcher in der Office-Komponente Visio. Mit Hilfe manipulierter DXF-Dateien oder speziell gestalteter Visio-Dateien kann ein Angreifer Schadcode ausführen. Denn beim Öffnen von Visio-Dateien werden Objektheaderdaten nicht korrekt analysiert und beim Anzeigen von DXF-Dateien werden die Speicherzuordnungen fehlerhaft geprüft. Diese beiden Sicherheitslücken stecken in der Visio-Version von Office XP, 2003 und 2007.

Außerdem schlummert in Microsofts Project 2000, 2002 sowie 2003 ein als kritisch eingestuftes Sicherheitsleck, über das Angreifer durch eine manipulierte Project-Datei beliebigen Code ausführen können, weil die Zuweisung von Speicherressourcen fehlerhaft arbeitet. Der Project Server 2003 und 2007 sowie Project 2007 sind von dem Sicherheitsloch nicht betroffen. Mit dem nun veröffentlichten Sicherheits-Patch soll dieser Fehler korrigiert werden.

Alle genannten Sicherheits-Patches verteilt Microsoft auch über die Update-Funktion des Betriebssystems, so dass diese darüber gesammelt heruntergeladen werden können.


eye home zur Startseite
kiste 18. Apr 2008

is klar sind natürlich immer die anderen schuld. gestern noch nvidia heute wieder die...

You Sehr 09. Apr 2008

patcht ist denglisch!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1111111111111 genau deshalb benutz ich...

agre 09. Apr 2008

Genial. Ich wusste, dass dieser Satz hier auftaucht. Wirklich cool. Hoffe, dass noch mehr...

Ekud 09. Apr 2008

Die Frage würde mich auch interessieren, woher willst du es wissen? Bzw die langhaarigen...

^Andreas... 09. Apr 2008

Du meinst eine "Alpha". Die "Beta" entspricht doch 1:1 der finalen Verkaufsversion ;)



Anzeige

Stellenmarkt
  1. Isar Kliniken GmbH, München
  2. Deutsche Telekom AG, Bonn
  3. stoba Präzisionstechnik GmbH & Co. KG, Backnang (nahe Stuttgart)
  4. Leadec Management Central Europe BV & Co. KG, Heilbronn


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 811,90€ + 3,99€ Versand

Folgen Sie uns
       


  1. Nvidia

    Keine Volta-basierten Geforces in 2017

  2. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  3. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  4. id Software

    Quake Champions startet in den Early Access

  5. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen

  6. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust

  7. Open Source Projekt

    Oracle will Java EE abgeben

  8. Apple iPhone 5s

    Hacker veröffentlicht Secure-Enclave-Key für alte iPhones

  9. Forum

    Reddit bietet native Unterstützung von Videos

  10. Biomimetik

    Drohne landet kontrolliert an senkrechter Wand



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starcraft Remastered: "Mit den Protoss kann man seinen Gegner richtig nerven!"
Starcraft Remastered
"Mit den Protoss kann man seinen Gegner richtig nerven!"
  1. Blizzard Der Name Battle.net bleibt
  2. Blizzard Overwatch bekommt Deathmatches
  3. E-Sport Blizzard nutzt Gamescom für europäische WoW-Finalspiele

Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Radeon RX Vega Mining-Treiber steigert MH/s deutlich
  2. Radeon RX Vega 56 im Test AMD positioniert sich in der Mitte
  3. Workstation AMD bringt Radeon Pro WX 9100

  1. Re: so ein akku auto ist auch nicht gerade co2 frei

    Rulf | 03:57

  2. Re: Deshalb braucht man Konkurrenz

    Trockenobst | 02:46

  3. Re: Öffnungszeiten Online einführen!

    Schrödinger's... | 00:43

  4. Re: Theoretisch eine gute Idee....aber in der Praxis?

    Vollstrecker | 00:38

  5. Re: Sinn

    flow77 | 00:32


  1. 17:56

  2. 16:20

  3. 15:30

  4. 15:07

  5. 14:54

  6. 13:48

  7. 13:15

  8. 12:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel