Original-URL des Artikels: https://www.golem.de/0903/65821.html    Veröffentlicht: 10.03.2009 22:07    Kurz-URL: https://glm.io/65821

Acht offene Sicherheitslücken in Windows

Kein Patch gegen das Sicherheitsleck in Excel

Mit drei Patches für die Windows-Plattform korrigiert Microsoft insgesamt acht Sicherheitslücken in dem Betriebssystem. Drei dieser Sicherheitslöcher betreffen den Windows-Kernel und können zur Ausführung von Schadcode missbraucht werden. Für das bekannte Sicherheitsloch in Excel steht weiterhin kein Patch bereit.

Eine der drei Sicherheitslücken im Windows-Kernel betrifft das Graphics Device Interface (GDI) des Betriebssystems, so dass sich der Fehler ausnutzen lässt, indem ein Opfer zum Öffnen einer präparierten Bilddatei der Formate WMF oder EMF verleitet wird. Die beiden anderen Fehler im Windows-Kernel setzen voraus, dass sich der Angreifer am System angemeldet hat. Dann kann er Programmcode ausführen und das System so vollständig unter seine Kontrolle bringen. Zur Beseitigung dieser drei Sicherheitslecks im Windows-Kernel hat Microsoft einen Patch zum Download für die Windows-Plattform bereitgestellt.

Gleich vier Sicherheitslecks finden sich im DNS-Server der Windows-Server-Versionen. Einer der Fehler kann für Spoofing-Angriffe ausgenutzt werden, das andere Sicherheitsloch erlaubt die Umleitung von Internetdaten, während die beiden anderen Fehler Angreifern die Ausführung einer Man-in-the-Middle-Attacke ermöglichen. Diese vier Fehler soll der veröffentlichte Windows-Patch beseitigen.

Ein weiterer Fehler findet sich in der SSL-Bibliothek von Windows, die für Spoofing-Angriffe missbraucht werden kann. Wenn ein Server auf eine Client-Authentifizierung hin konfiguriert ist, kann ein Angreifer den Fehler ausnutzen, indem er einen autorisierten Benutzer nachahmt. Dies gelingt dann, obwohl der Angreifer keinen Zugriff auf den privaten Schlüssel des berechtigten Benutzers hat, der normalerweise für eine erfolgreiche Authentifizierung erforderlich ist. Mit dem bereitgestellten Patch für die Windows-Plattform kann der Fehler korrigiert werden.

Wie bereits die Vorabinformationen zu Microsofts Patchday zeigten, erschien kein Patch für die offene Sicherheitslücke in der Office-Software Excel. Ende Februar 2009 wurde der Fehler bekannt, der bereits ausgenutzt wird und über den Schadcode ausgeführt werden kann. Derzeit ist nicht bekannt, wann ein Patch für Excel erscheint, um das Sicherheitsleck in der Software zu schließen.

Alle drei Patches für die Windows-Sicherheitslücken stehen außer über die Security Bulletins auch über Microsoft Update bereit und werden darüber verteilt.  (ip)


Verwandte Artikel:
Windows-Patch beseitigt drei Sicherheitslücken   
(14.01.2009, https://glm.io/64592 )
Sicherheitsloch im TCP/IP-Stack von Windows Vista   
(24.11.2008, https://glm.io/63723 )
Microsofts Groß-Patchday schließt fast 30 Sicherheitslücken   
(10.12.2008, https://glm.io/64044 )
Security: Lenovo gesteht Sicherheitslücken im Fingerprint Manager ein   
(29.01.2018, https://glm.io/132445 )
Windows Vista: Fehlerhaftes Update stört USB-Geräte   
(17.04.2008, https://glm.io/59097 )

Links zum Artikel:
Microsoft: http://www.microsoft.de
Microsoft - Security Bulletin MS09-006: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms09-006.mspx
Microsoft - Security Bulletin MS09-007: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms09-007.mspx
Microsoft - Security Bulletin MS09-008: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms09-008.mspx
Microsoft (.com): http://www.microsoft.com

© 1997–2019 Golem.de, https://www.golem.de/