Abo
  • Services:

10 Sicherheitslücken in Microsoft-Produkten

Internet Explorer nun wieder ohne Eolas-Hürde

In den Windows-Versionen hat Microsoft sechs Sicherheitslecks beseitigt, die in der Mehrzahl zum Ausführen von Schadcode missbraucht werden können. Das Gleiche gilt auch für ein Sicherheitsloch im Internet Explorer, der nun keine Eolas-Hürde mehr aufweist. Dabei ist auch Windows Vista mit Service Pack 1 für einige der nun bekanntgewordenen Sicherheitslücken anfällig.

Artikel veröffentlicht am ,

Die Windows-Komponenten VBScript und JScript weisen ein kritisches Sicherheitsleck auf, so dass Angreifer über entsprechend gestaltete Webseiten beliebigen Programmcode auf einem fremden System ausführen können. Der Patch für die Windows-Plattform steht als Download bereit. In Windows Vista sowie Windows Server 2008 befindet sich dieses Sicherheitsleck nicht.

Stellenmarkt
  1. Swiss Post Solutions GmbH, Bamberg
  2. Vector Informatik GmbH, Regensburg

Ein weiteres als gefährlich eingestuftes Sicherheitsloch steckt im ActiveX-Objekt hxvz.dll und findet sich in allen Windows-Ausführungen, einschließlich Windows Vista mit Service Pack 1. Auch hier müssen Angreifer ihre Opfer lediglich dazu bringen, eine entsprechend manipulierte Webseite aufzurufen, um Schadcode auszuführen. Der bereitgestellte Patch soll den Fehler beseitigen.

Ebenfalls zur Ausführung von Schadcode lässt sich eine als gefährlich eingestufte Sicherheitslücke in allen Versionen des Internet Explorer missbrauchen. Dazu wird der Systemspeicher von einem Angreifer durch speziell gestaltete Datenströme gezielt durcheinandergebracht. Mit einem Patch wird der Fehler korrigiert, der auch Windows Vista mit Service Pack 1 betrifft. Mit diesem Patch wird auch wie angekündigt die Eolas-Hürde wieder aus dem Browser beseitigt. Von nun an müssen Anwender das Laden einiger ActiveX-Controls nicht mehr explizit bestätigen.

Zwei weitere als gefährlich klassifizierte Sicherheitslücken befinden sich in der Windows-Komponente Graphics Device Interface (GDI). Angreifer können schadhaften Programmcode ausführen, indem sie eine EMF- oder WMF-Datei manipulieren und ein Opfer zum Öffnen dieser Dateien veranlassen. Das eine Sicherheitsleck wird durch einen Stapelüberlauf verursacht, während das andere Sicherheitsloch durch einen Pufferüberlauf ausgelöst wird. Mit einem Patch werden diese beiden Sicherheitslecks geschlossen, die die gesamte Windows-Plattform betreffen, also auch im Service Pack 1 für Windows Vista.

Dies gilt auch für ein Sicherheitsleck im Windows-Kernel, über den sich Angreifer erhöhte Rechte verschaffen können, um dann beliebige Programme installieren oder Dateien löschen zu können. Der Angreifer muss dazu am System angemeldet sein, weshalb Microsoft das Risiko nur als hoch einschätzt. Ein Patch für alle Windows-Systeme soll den Fehler bereinigen.

Ein Spoofing-Angriff ist über einen Fehler im DNS-Client der Windows-Plattform möglich. Das mit einem Patch geschlossene Sicherheitsleck wird als hohes Risiko bewertet. Nur Windows Vista mit installiertem Service Pack 1 sowie Windows Server 2008 sind von dem Problem nicht betroffen.

Ein weiterer Sicherheits-Patch beseitigt zwei mit einer hohen Gefährdungsstufe versehene Sicherheitslöcher in der Office-Komponente Visio. Mit Hilfe manipulierter DXF-Dateien oder speziell gestalteter Visio-Dateien kann ein Angreifer Schadcode ausführen. Denn beim Öffnen von Visio-Dateien werden Objektheaderdaten nicht korrekt analysiert und beim Anzeigen von DXF-Dateien werden die Speicherzuordnungen fehlerhaft geprüft. Diese beiden Sicherheitslücken stecken in der Visio-Version von Office XP, 2003 und 2007.

Außerdem schlummert in Microsofts Project 2000, 2002 sowie 2003 ein als kritisch eingestuftes Sicherheitsleck, über das Angreifer durch eine manipulierte Project-Datei beliebigen Code ausführen können, weil die Zuweisung von Speicherressourcen fehlerhaft arbeitet. Der Project Server 2003 und 2007 sowie Project 2007 sind von dem Sicherheitsloch nicht betroffen. Mit dem nun veröffentlichten Sicherheits-Patch soll dieser Fehler korrigiert werden.

Alle genannten Sicherheits-Patches verteilt Microsoft auch über die Update-Funktion des Betriebssystems, so dass diese darüber gesammelt heruntergeladen werden können.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 83,90€

kiste 18. Apr 2008

is klar sind natürlich immer die anderen schuld. gestern noch nvidia heute wieder die...

You Sehr 09. Apr 2008

patcht ist denglisch!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1111111111111 genau deshalb benutz ich...

agre 09. Apr 2008

Genial. Ich wusste, dass dieser Satz hier auftaucht. Wirklich cool. Hoffe, dass noch mehr...

Ekud 09. Apr 2008

Die Frage würde mich auch interessieren, woher willst du es wissen? Bzw die langhaarigen...

^Andreas... 09. Apr 2008

Du meinst eine "Alpha". Die "Beta" entspricht doch 1:1 der finalen Verkaufsversion ;)


Folgen Sie uns
       


Windows 10 on Snapdragon - Test

Wir schauen uns Windows 10 on ARM auf zwei Snapdragon-Notebooks an.

Windows 10 on Snapdragon - Test Video aufrufen
Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

Krankenversicherung: Der Papierkrieg geht weiter
Krankenversicherung
Der Papierkrieg geht weiter

Die Krankenversicherung der Zukunft wird digital und direkt, aber eine tiefgreifende Disruption des Gesundheitswesens à la Amazon wird in Deutschland wohl ausbleiben. Die Beharrungskräfte sind zu groß.
Eine Analyse von Daniel Fallenstein

  1. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche
  2. Medizintechnik Implantat wird per Ultraschall programmiert
  3. Telemedizin Neue Patienten für die Onlinepraxis

Razer Huntsman im Test: Rattern mit Infrarot
Razer Huntsman im Test
Rattern mit Infrarot

Razers neue Gaming-Tastatur heißt Huntsman, eine klare Andeutung, für welchen Einsatzzweck sie sich eignen soll. Die neuen optomechanischen Switches reagieren schnell und leichtgängig - der Geräuschpegel dürfte für viele Nutzer aber gewöhnungsbedürftig sein.
Ein Test von Tobias Költzsch

  1. Huntsman Razer präsentiert Tastatur mit opto-mechanischen Switches
  2. Razer Abyssus Essential Symmetrische Gaming-Maus für Einsteiger
  3. Razer Nommo Chroma im Test Blinkt viel, klingt weniger

    •  /