Updates & Patches

Speziell formatierte RAM-Dateien nutzen Sicherheitslücke aus. In mehreren Versionen des Real Player befindet sich ein Sicherheitsloch, worüber Angreifer beliebigen Programmcode auf einem fremden System ausführen können. Dazu muss ein Opfer nur dazu gebracht werden, eine präparierte RealMedia-Datei im Format RAM zu öffnen. Zur Abhilfe bietet Real Networks entsprechende Patches zum Download an.

Sicherheitslöcher im Crystal Reports Web Viewer sowie in DirectPlay. Am diesmonatigen Patch-Day veröffentlicht Microsoft Patches für die DirectX-Komponente DirectPlay sowie für den Crystal Reports Web Viewer, um darin befindliche, eher harmlose Sicherheitslecks zu beseitigen. Das Sicherheitsloch in DirectPlay gestattet die Ausführung einer Denial-of-Service-Attacke, während man über die Sicherheitslücke im Crystal Reports Web Viewer ebenfalls einen Denial-of-Service-Angriff ausführen oder Dateien einsehen sowie löschen kann.

Linus Torvalds will Herkunft von Kernel-Patches besser dokumentieren. Linus Torvalds will die Dokumentation eingereichter Kernel-Patches für Linux verbessern, um die Herkunft künftiger Modifikationen lückenlos nachweisen zu können. Bislang wird nur dokumentiert, wer einen Patch einreicht, nicht aber der Weg, den dieser nimmt. Torvalds reagiert damit auch auf das rechtliche Vorgehen von SCO gegen Linux und dessen Nutzer.

Apple hält sich bei Angaben zur Sicherheitslücke weiter bedeckt. Gegen die HelpViewer-Sicherheitslücke in MacOS X bietet Apple ab sofort passende Patches für MacOS X 10.2.8 sowie 10.3.3 an. Das Sicherheitsloch sorgt dafür, dass Angreifer über eine entsprechend formatierte URL über jeden Browser Disk-Images laden und mounten können, worüber Script-Code ausgeführt werden kann.

Inoffizielle Firmware soll 2100A und 2500A zum 2510A machen. Mit einer im Netz aufgetauchten Firmware des noch nicht lieferbaren Dual-Layer-DVD-Brenners NEC 2510A sollen nun auch dessen nur Single-Layer-fähige Vorgänger NEC 2100A und 2500A DVD+R-DL-Medien mit bis zu 8,5 GByte Daten beschreiben können. Da es die 2500A-Modelle schon für unter 100,- Euro gibt, wäre dies eine sehr preiswerte, aber nicht ohne Vorsicht zu genießende Aufwertung der genannten DVD-Brenner.

Symantec stellt Patches zur Abhilfe bereit. In der Software-Firewall von Symantec wurden von den Sicherheitsspezialisten von eEye insgesamt vier Sicherheitslücken entdeckt, worüber ein Angreifer unter anderem Programmcode auf fremde Rechner schleusen und ausführen kann. Symantec hat Patches zur Bereinigung der Sicherheitslecks bereitgestellt.

Sicherheitsleck verschafft Angreifer umfassende Kontrolle über fremdes System. In einem aktuellen Security Bulletin informiert Microsoft anlässlich des monatlichen Patch-Day über ein weiteres Sicherheitsleck in den Hilfefunktionen von Windows XP und Server 2003. Das Sicherheitsloch erlaubt einem Angreifer, beliebigen Programmcode auf ein fremdes System zu schleusen und so eine umfassende Kontrolle über das System zu erlangen. Microsoft bietet Patches zum Download an.

Sicherheits-Patches für MacOS X 10.2.8 und 10.3.3; Apple verschweigt Gefahren. Apple muss erneut Sicherheitslücken in MacOS X stopfen und veröffentlichte entsprechende Patches für MacOS X 10.2.8 sowie 10.3.3. Die Patches stehen für die Desktop- und Server-Ausführungen des Betriebssystems bereit und aktualisieren zahlreiche Komponenten des Betriebssystems. Genaue Angaben zu den Sicherheitslöchern bleibt Apple wie gewohnt schuldig. Lediglich zu einer Sicherheitslücke liegen genaue Angaben vor, weil die Entdecker ein Security Advisory veröffentlicht haben.

Patch für Version 1.4 steht zum Download bereit. Die Entwickler von Infinity Ward haben jetzt wie bereits kürzlich angekündigt einen weiteren Patch zum erfolgreichen Weltkriegs-Shooter Call of Duty veröffentlicht. Das Update aktualisiert das Spiel auf Version 1.4 und enthält neben zahlreichen Bugfixes auch einige neue Funktionen.

Microsoft deckt insgesamt 20 neue Sicherheitslecks im Windows-Betriebssystem auf. Am diesmonatigen Patch-Day veröffentlichte Microsoft vier Security Bulletins, worüber insgesamt 20 weitere Sicherheitslücken in dem Betriebssystem Windows bekannt wurden. Viele dieser Sicherheitslecks ermöglichen Angreifern Aktionen, die von der Ausführung von Programmcode bis zur kompletten Kontrolle über ein fremdes System reichen. Die zum Großteil von Microsoft als gefährlich eingestuften Sicherheitslöcher sollen bereitgestellte Patches beseitigen.

Patches bereinigen den Fehler. Cisco veröffentlichte ein Security Advisory, wonach die Wireless LAN Solution Engine (WLSE) und die Hosting Solution Engine (HSE) ein fest einprogrammiertes Paar aus Anmeldenamen und Kennwort enthalten. Somit könnten Angreifer unautorisierten Zugriff mit allen Rechten auf ein System erlangen, sofern das Name-Passwort-Paar bekannt ist. Eine manuelle Deaktivierung ist nicht möglich, so dass die bereitgestellten Patches installiert werden müssen.

Updates für Canon EOS-1Ds, Nikon Coolpix 5000, Sony DSC-F828 und DSC-T1. Für Sonys Cybershot-Digicams DSC-F828 und DSC-T1 sind seit kurzem Firmware-Updates erhältlich, mit denen Datenverluste vermieden werden. Für die Canon EOS-1Ds und die Nikon Coolpix 5000 gibt es ebenfalls neue Firmware, die jeweils kleinere Fehler behebt.

Sicherheitsloch im R3T-Plug-In; RealNetworks' Patches deinstallieren Plug-In. RealNetworks teilte mit, dass das R3T-Plug-In für den RealPlayer ein Sicherheitsloch aufweist, worüber Angreifer beliebigen Programmcode auf einem fremden System ausführen können. Zur Abhilfe des Problems behilft sich RealNetworks damit, das betreffende Plug-In zu deinstallieren, anstatt den eigentlichen Fehler zu beheben.

Update behebt Fehler in Windows-Version der DTP-Software. Für die DTP-Software PageMaker 7.0.1 bietet Adobe einen Patch an, der eine verbesserte Kompatibilität mit anderen Adobe-Applikationen bringen soll. Außerdem wurden einige Programmfehler bereinigt, so dass die Software nun zuverlässiger arbeiten soll. Der Patch gilt nur für die Windows-Version von PageMaker 7 und hievt die Software auf die Versionsnummer 7.0.1a.

Patches für Excel 2003, Outlook 2003, Access 2002 sowie Office XP. Mit einem Schlag hat Microsoft Updates für die Office-Komponenten Excel 2003 und Outlook 2003 veröffentlicht, wobei der Outlook-Patch lediglich aktualisierte Spam-Filter-Definitionen umfasst. Als Weiteres wurden der Script Editor sowie das Text-Service-Framework aus Office XP aktualisiert und ein Problem in Access 2002 nach der Installation des Service Pack 3 für Office XP bereinigt.

MacOS X 10.3.3 in deutscher Sprache verfügbar. Ab sofort bietet Apple Updates auf MacOS X 10.3.3 für die Desktop- und Server-Ausführung des Betriebssystems zum Download an. Beide Updates bringen zahlreiche kleine Verbesserungen und enthalten die bislang einzeln erschienenen Sicherheits-Updates.

Geheimes Raumschiff in Version 1.3. Die Entwickler von Egosoft haben zu ihrer erfolgreichen Weltraumsimulation "X2 - Die Bedrohung" nun das Update 1.3 veröffentlicht. Neben zahlreichen neuen Funktionen enthält das Update auch den "ModderKIT" mit Tools und Infos für das Modding von X2.

Outlook-Sicherheitsleck ermöglicht unbemerkte Ausführung von Programmcode. Am 10. März 2004 veröffentlichte Microsoft ein Security Bulletin mit der Beschreibung einer neu entdeckten Sicherheitslücke in Outlook 2002. Dieses Bulletin wurde nun nur einen Tag später von Microsoft überarbeitet, da sich das Sicherheitsloch als gefährlicher entpuppte als zunächst angenommen. Das Sicherheitsleck erlaubt es einem Angreifer, beliebigen Programmcode auf einem fremden System auszuführen.

Für Windows, Linux, Solaris SPARC und Solaris x86. Sun hat für seine plattformübergreifende Bürosoftware StarOffice 7 das zweite Aktualisierungspaket bereitgestellt. Für OpenOffice gibt es diese Aktualisierungen ebenfalls.

Sicherheitsloch umgeht Sicherheitszonen-Modell des Internet Explorer. Im Zuge des monatlichen Patch-Days für den März 2004 wurde ein schweres Sicherheitsloch in Outlook 2002 bekannt, das einem Angreifer die Ausführung von Script-Code erlaubt. Darüber kann man auf beliebige Dateien mit den Rechten des angemeldeten Nutzers zugreifen sowie beliebigen Code ausführen, sobald das Opfer eine präparierte Webseite oder HTML-E-Mail liest. Microsoft bietet einen Patch zur Abhilfe des Problems an.

Sicherheitsloch im MSN Messenger erlaubt Lesen von Dateien. Am monatlichen Patch-Day von Microsoft für den März 2004 veröffentlichte der Hersteller unter anderem Patches zur Beseitigung von Sicherheitslücken im Instant Messenger MSN Messenger der Versionen 6.0 und 6.1 sowie in Windows 2000 Server. Während ein Angreifer über das Sicherheitsleck im MSN Messenger Dateien einlesen kann, erlaubt das Sicherheitsloch in Windows 2000 Server eine Denial-of-Service-Attacke.

Patch aktualisiert Komponenten in MacOS X. Apple bietet ab sofort Sicherheits-Patches für MacOS X 10.2 und 10.3 zum Download an, womit einige Sicherheitslöcher in verschiedenen Komponenten des Betriebssystems bereinigt werden sollen. Die Patches stehen einerseits für die Client-Versionen und andererseits für die Server-Ausführungen der entsprechenden MacOS-X-Versionen bereit.

Außerdem neue Funktion "Recall-Play" und programmierbare Tasten. Yamaha hat für sein MusicCAST getauftes Netzwerk-Audio-System eine neue Firmware veröffentlicht, die es dem Server u.a. ermöglicht, auch auf mehreren Endgeräten "absolut synchron" die gleiche Musik abzuspielen. Für den so genannten Broadcast-Modus kommen als Musikquelle die eingebaute Festplatte, eine CD oder eine am Server angeschlossene externe Quelle infrage - einzelne Clients lassen sich per Knopfdruck ausklinken, wenn in einem Raum andere Musik abgespielt werden soll.

Microsofts "Sicherheits Update CD" vom Oktober 2003 für alle ohne Zusatzkosten. Microsoft hat erneut eine "Sicherheits Update CD" mit Patches und Service Packs für verschiedene Windows-Versionen aufgelegt, die Patches bis einschließlich Oktober 2003 enthält und kostenlos verschickt wird. Neuere Patches müssen nach wie vor aus dem Internet geladen werden. Webseiten wie WinBoard.org fassen die Einzel-Patches zu einem Archiv zusammen, um dieses bequemer transportieren und installieren zu können.

IE hat Probleme mit SSL-Seiten; zweite Nachbesserung des IE-Sicherheits-Patches. Wie ein aktueller Knowledge-Base-Artikel auf Microsofts Webseiten zu berichten weiß, hat ein aktueller Internet Explorer 6 Probleme mit SSL-Seiten. Das Problem soll nur den Internet Explorer 6 betreffen, sofern der Anfang Februar 2004 erschienene Sicherheits-Patch für den Browser eingespielt wurde. Damit muss Microsoft den betreffenden Patch bereits das zweite Mal nachbessern.

Exploit bringt Systeme ohne eingespielten Patch zum Neustart. Wie auf der Mailingliste Full Disclosure zu erfahren ist, liegt ein erster Exploit für die am 11. Februar 2004 bekannt gewordene Sicherheitslücke in der ASN-1-Library vor, was die verschiedenen NT-basierten Windows-Versionen betrifft. Der aktuelle Exploit kann Clients und Server zum Neustart zwingen, sofern der bereitgestellte Patch nicht installiert wurde.

Version für MacOS X erhält neues XTensions-Modul. Ein kostenloses Update hievt die DTP-Software QuarkXPress auf die Versionsnummer 6.1 und soll Verbesserungen in Bezug auf die Geschwindigkeit, den Datenimport sowie einige Neuerungen bringen. Außerdem wurde die aktuelle Fassung an MacOS X 10.3 angepasst.

Microsofts Sicherheitsstrategie wird zur reinen Farce. Am Februar-Patch-Day des heutigen 11. Februar 2004 veröffentlichte Microsoft auch einen Patch für ein gefährliches Sicherheitsleck für alle Versionen des Windows Media Player. Allerdings geschah dies nicht - wie zu erwarten wäre - über das entsprechende Security Bulletin. Stattdessen veröffentlichte Microsoft alle Informationen darüber lediglich in einem Knowledge-Base-Artikel, womit die neue Sicherheitsstrategie von Microsoft jegliche Nachvollziehbarkeit verliert.

Security Bulletin für Februar 2004 neu aufgelegt; Patches für Windows-Versionen. Der ursprüngliche Plan von Microsoft - im Zuge einer neuen Sicherheitsstrategie Patches nur noch an einem monatlichen Patch-Day zu veröffentlichen - wurde offenbar aufgegeben. Denn nach nur einer Woche erschien das Security Bulletin für den Monat Februar 2004 noch einmal: Neben drei Sicherheitslöchern im Internet Explorer werden darin zwei weitere Sicherheitslecks in Windows behoben.

Lokaler Angriff erlaubt komplette Übernahme eines virtuellen PCs. Im Zuge der Neuauflage des Februar-Patch-Day veröffentlichte Microsoft auch ein Sicherheits-Update für die MacOS-Version von Virtual PC. Mit der Software können Mac-Anwender einen x86-PC simulieren und darüber etwa Windows-Anwendungen laufen lassen.

Cisco-Tochter SMC setzt auf Prism Nitro XM. SMC Networks hat angekündigt, seine 802.11g-WLAN-Produkte in Zukunft mit Prism Nitro eXtreme Multimedia (XM) von GlobespanVirata auszustatten, auch nachträglich. Damit soll sich der Datendurchsatz im 2,4-GHz-Band auf theoretische 140 Mbps hochschrauben lassen - Standard sind 54 Mbps, eine Datendurchsatzsteigerung auf 108 Mbps findet sich bereits in einigen WLAN-Produkten.

Patch korrigiert aktuellen IE-Patch; URL-Aufruf mit Zugangsdaten bleibt gesperrt. Unglaublich, aber wahr: Der jüngst von Microsoft veröffentlichte Patch zur Beseitigung von gleich drei Sicherheitslecks im Internet Explorer weist einen Fehler auf, so dass erneut ein Patch eingespielt werden muss. Der neue Patch ermöglicht jedoch das Einbinden von Nutzername und Kennwort in URLs nicht wieder, was der aktuelle IE-Patch ausgeschaltet hatte.

Sicherheitsloch erlaubt Ausführung von gefährlichem Programmcode. RealNetworks bietet Sicherheits-Patches für den RealOne Player in verschiedenen Versionen, aber auch für den RealPlayer in unterschiedlichen Varianten. Die Sicherheitslücken erlauben die Einschleusung und Ausführung beliebigen Programm-Codes und können einen "Buffer Overrun"-Fehler verursachen.

Sammel-Patch bereinigt drei Sicherheitslücken im Internet Explorer. Überraschend verlegte Microsoft den monatlichen "Patch-Day" um eine gute Woche vor und stellt nun endlich Patches gegen die Sicherheitslöcher im Internet Explorer 5.01, 5.5 und 6.0 aus dem vergangenen Jahr bereit, nachdem bereits zwei mögliche Patch-Days im Dezember 2003 und Januar 2004 diese Lücken ignorierten. Als Weiteres bereinigt der Patch ein Sicherheitsleck im Browser, worüber Programmcode unbemerkt vom Nutzer auf ein System gelangen kann.

Patch für Word 2003 erschienen; Mitte Februar 2004 Patch für Internet Explorer. Mit dem Erscheinen eines Patches für Word 2003 wird die neue Sicherheitsstrategie von Microsoft immer unverständlicher. Der eigenen Ankündigung nach wollte Microsoft eigentlich Patches für gefährliche Sicherheitslecks bei Bedarf unabhängig von dem nun monatlichen "Patch-Day" herausbringen, tat dies bislang jedoch nicht. Als überraschende Ausnahme veröffentlicht Microsoft nun einen Patch für einen aus Sicherheitsaspekten unbedeutenden Programmfehler in Word 2003. Eines der jüngsten Sicherheitslecks im Internet Explorer wird hingegen erst Mitte Februar 2004 beseitigt.

Patches für MacOS X 10.1.5, 10.2.8 sowie 10.3.2. Apple hat in einem Rutsch Patches für verschiedene MacOS-X-Ausführungen veröffentlicht, die unter anderem Sicherheitslücken beheben sollen. Aber auch einige sonstige Programmfehler will man mit dem Patch bereinigen.

Microsoft ignoriert Sicherheitsleck im Internet Explorer vom Dezember 2003. Microsoft veröffentlichte im Januar 2004 drei Security Bulletins, die verschiedene Sicherheitslecks in Microsoft-Produkten beheben sollen. Zwei der drei Sicherheitslücken werden von Microsoft als kritisch eingestuft. Unberücksichtigt blieb weiterhin das bereits Mitte Dezember 2003 entdeckte Sicherheitsleck im Internet Explorer, welches die korrekte URL in der Adresszeile des Browsers verschleiert.

Geburtstagserinnerungsfunktion verträgt sich anscheinend nicht mit Jahreswechsel. Wie Besitzer vom Tungsten E und Tungsten T3 in Internetforen berichten, macht die neue Geburtstagserinnerungsfunktion in den beiden Palm-PDAs Schwierigkeiten: So kann eine Geburtstagserinnerung dazu führen, dass sich das Gerät nicht dauerhaft ausschalten lässt, weil sich der PDA immer wieder nach etwa 10 Sekunden einschaltet. Einen Patch bietet Palm bislang nicht an.

Modifizierte Firmware aus der DVD-Szene von "Herrie" und "BronkowTech45". Die aus DVD-Brenner-Foren bekannten Mitmenschen "Herrie" und "BronkowTech45" erlauben mit ihrer modifizierten Firmware für den verbreiteten NEC-DVD-Brenner ND-1300A eine beliebige Veränderung des Region-Codes und ein "Book Type Setting" in Verbindung mit DVD+R/+RW-Medien. Zwar verliert man durch die Installation der herstellerfremden Firmware die Garantie, soll dafür aber die Kompatibilität deutlich steigern können.

Soll Audio-Probleme bei DivX-Filmen beheben. Nachdem Elta in seinem ersten Firmware-Update für den DivX-Pro-DVD-Player Elta 8883 MP4 nur die Dateien für ein Vorgängermodell mitlieferte, ist nun das richtige Update vorhanden. Auch die Beschreibung der neuen Firmware-Version wurde korrigiert.

DivX-3.11-Unterstützung überarbeitet und erstmals auch OGG- und WMA-Wiedergabe. Für den seit Anfang Dezember 2003 von Elta ausgelieferten DivX-Pro-fähigen DVD-Player Elta 8883 MP4 veröffentlichte der Hersteller nun ein erstes Firmware-Update auf die Version 1.0.0.6. Unter anderem erweitert diese das Gerät um die Wiedergabe von Audio-Dateien im OGG-, WAV- und im WMA-Format.

Patch soll die Stabilität von StarOffice 7 erhöhen. Sun bietet einen Patch für das Office-Paket StarOffice 7.0 zum Download an, das zahlreiche Programmfehler beheben und eine höhere Stabilität bringen soll. Es stehen Download-Archive für Windows, Linux und Solaris auf den Sun-Servern bereit.

Netzwerk- und USB-Unterstützung überarbeitet, neue Treiber und weniger Fehler. YellowTAB hat am 9. Dezember 2003 das zweite Update für den BeOS-Nachfolger Zeta RC1 veröffentlicht. Damit werden nicht nur Fehler beseitigt, sondern auch einige Komponenten des Betriebssystems verbessert und weitere Treiber hinzugefügt.