Updates & Patches

Sicherheitslecks gestatten Angreifern unerlaubte Ausführung von Programmcode. Mit einem Schlag informiert Microsoft über mehrere Sicherheitslecks, welche in verschiedenen Produkten aus Redmond stecken. So sind neben Windows 2000, XP auch Word, Excel sowie die FrontPage Server Extensions betroffen. Ohne eingespielte Patches können Angreifer Programmcode auf einem fremden System ausführen. Alle Sicherheitslecks werden von Microsoft als kritisch eingestuft.

Angreifer können Programmcode ausführen und Dateien einsehen. Für den Internet Explorer 5.01, 5.5 und 6.0 bietet Microsoft einen Sammel-Patch an, der alle bislang veröffentlichten Sicherheits-Patches umfassen sowie fünf neue Lecks beheben soll. Ohne eingespielte Patches können Angreifer Dateien ausspionieren oder Programmcode auf einem fremden System ausführen. Alle Sicherheitslecks werden von Microsoft für mehrere Versionen des Internet Explorer als kritisch eingestuft.

Geringe Systemleistung nach Aus- und Einschalten behebt der Patch gleichfalls. Palm bietet ab sofort einen Patch für den Tungsten T3 an, welcher Probleme bei der Benutzung von SD-Cards etwa einen Monat nach Entdeckung des Fehlers beheben soll. Außerdem will Palm mit dem Patch eine Abhilfe gegen die geringe Systemleistung nach dem Aus- und Einschalten des Tungsten T3 liefern. Einen Grund für die Probleme mit SD-Cards nannte Palm nicht, rät aber, den aktuellen Patch zu installieren.

Neue Firmware verhindert Datenverlust bei Nutzung der Laufwerke mit MacOS X 10.3. Nachdem Apple Ende Oktober 2003 darüber informierte, dass es bei Nutzung von MacOS X 10.3 mit verschiedenen externen FireWire-Festplatten zu Datenverlust kommen kann, gibt es nun Abhilfe. Die Probleme mit den FireWire-Laufwerken mit Oxford-Chipsatz 922 behebt eine aktualisierte Firmware, welche die Versionsnummer 1.05 trägt.

Microsoft stellt Patch für Office 2003 zur Behebung des Fehlers bereit. Für das frisch auf dem Markt befindliche Office-Paket Office 2003 muss Microsoft bereits einen ersten Patch anbieten, der einen möglichen Datenverlust beim Umgang mit Dokumenten aus Office 2000 beseitigen soll.

Weiterer Patch stopft Sicherheitsleck in MacOS X 10.3. Mit einem aktuellen Security Update behebt Apple ein weiteres Sicherheitsleck in dem jüngst erschienenen MacOS X 10.3 alias Panther. Demnach weist die Terminal-Applikation im Betriebssystem ein Sicherheitsleck auf, worüber ein Angreifer ohne Berechtigung auf das System zugreifen kann.

Bislang keine Patches für frühere Versionen von MacOS X im Angebot. Nach Apple-Informationen behebt das kürzlich erschienene MacOS X 10.3 gleich 14 Sicherheitslecks in früheren Versionen von MacOS X, für welche bislang keine separaten Patches angeboten werden. Wer also derzeit ein älteres System vor Angriffen bewahren möchte, muss das kostenpflichtige Update auf MacOS X 10.3 kaufen. Als Weiteres wurde bereits ein Patch für MacOS X 10.3 veröffentlicht, welcher ein Sicherheitsleck in QuickTime Java bereinigen soll.

Neue Charaktere und verbesserte Fähigkeiten. Lange haben sich die Entwickler von Blizzard Zeit gelassen - nach mehrfachen Terminverschiebungen und einem umfangreichen Beta-Test ist der neue Patch 1.10 jetzt aber endlich veröffentlicht worden. Unter anderem bringt das Update zahlreiche neue Gegenstände und überarbeitete Charaktereigenschaften mit sich.

Microsoft macht monatlichen Patch-Rhythmus wahr. Microsoft setzt die angekündigte neue Sicherheitsstrategie mit insgesamt sieben neuen Security Bulletins in die Tat um. Alle Security Bulletins werden von Microsoft in einem so genannten Security Bulletin Summary für den Monat Oktober 2003 zusammengefasst. Steve Ballmer kündigte an, Sicherheits-Patches monatlich anbieten zu wollen, was nun Realität wurde. Fraglich bleibt, ob Microsoft eine erhöhte Sicherheitsaufmerksamkeit erreicht, indem die Anwender mit Patches derart "beworfen" werden.

Patch auf MacOS X 10.2.8 in fehlerbereinigter Version erschienen. Apple bietet das Mitte September 2003 zurückgezogene Update für MacOS X auf die Version 10.2.8 erneut zum Download an. Mit der aktuellen Version soll es nicht mehr zu Schwierigkeiten mit den Ethernet-Funktionen kommen, wie es von einigen Anwendern beim ursprünglichen Update mit G4-Systemen berichtet wurde.

Bereits der Besuch einer Webseite genügt, um Opfer einer Attacke zu werden. In allen drei aktuellen Versionen des Internet Explorer wurden erneut schwerwiegende Sicherheitslücken entdeckt, die einem Angreifer die Ausführung von Programmcode erlauben. Ein Anwender muss lediglich eine Webseite besuchen oder eine HTML-E-Mail öffnen, um Opfer eines Angriffs zu werden. Bereits in der vergangenen Woche tauchte ein Trojaner auf, der sich das Sicherheitsleck zu Nutze macht. Microsoft bietet Sammel-Patches an, der auch frühere Sicherheitslecks im Browser beheben soll.

Download ohne weitere Erklärung seitens Apple deaktiviert. Das am gestrigen 23. September 2003 erschienene Update auf MacOS X 10.2.8 wurde Stunden später wieder von Apple zurückgezogen. Zahlreiche Beschwerden der Anwender über Probleme mit dem Update haben offenbar zu diesem Schritt geführt. Eine Erklärung von Apple findet sich auch im Security-Bereich der Apple-Seiten nicht.

Texterkennung arbeitet mit einem Update in verschiedenen Sprachen. Microsoft bietet ab sofort ein Sprach-Update für die Tablet PC Edition von Windows XP an, womit sich die wörterbuchgestützte Handschriftenerkennung in verschiedenen Sprachen nutzen lässt. Damit gibt man etwa auf einem deutschsprachigen Tablet-PC Texte in Japanisch, Französisch oder auch Chinesisch ein.

Erneut gefährliche Sicherheitslecks im RPC-Protokoll etlicher Windows-Versionen. Microsoft berichtet über zwei weitere, schwerwiegende Sicherheitslücken im RPC-Protokoll der Windows-Versionen NT 4.0, 2000, XP und der Server-Fassungen NT 4.0 Terminal Services Edition sowie Server 2003, über die ein Angreifer umfassende Kontrolle über ein fremdes System erlangen kann. Ein Mitte Juli 2003 entdecktes RPC-Sicherheitsleck sorgte im August 2003 für die explosionsartige Verbreitung des Blaster-Wurms, da viele Anwender die entsprechenden Patches nicht eingespielt hatten. Aus dieser Erfahrung heraus rät Microsoft eindringlich, den jetzt angebotenen Patch unverzüglich zu installieren.

Service Pack aktualisiert Komponenten in betagter Datenbank-Software. Ab sofort bietet Microsoft ein Service Pack für die in die Jahre gekommene Datenbank-Software Access in der Version 2.0 zum Download an. Da Microsoft bei solch alten Software-Titeln den Support längst eingestellt hat, überrascht die aktuelle Bereitstellung des Service Packs. Das Service Pack steht derzeit lediglich in englischer Sprache bereit.

Update beschert Java-Funktion kleine Verbesserungen und eine höhere Stabilität. Apple bietet ab sofort ein Java-Update für MacOS X 10.2.6 und neuer an, das zahlreiche kleine Fehler bereinigt und eine bessere Unterstützung für die Java-Nutzung in Web-Browsern bringen soll, sofern diese das Java-Plug-In verwenden.

Vermeintlich behobenes Sicherheitsleck weiterhin von Angreifern nutzbar. Wie ein Beitrag auf der Sicherheits-Mailingliste Full-Disclosure berichtet, weist der Ende August 2003 bereitgestellte Patch für den Internet Explorer einen Fehler auf, so dass das vermeintlich gestopfte Sicherheitsleck weiterhin von Angreifern ausgenutzt werden kann. Die Sicherheitslücke betrifft den Internet Explorer in den Versionen 5.01, 5.5 und 6.0.

Leck in Word umgeht Makro-Sicherheitsmodell; Makros werden automatisch gestartet. In zwei aktuellen Security Bulletins berichtet Microsoft über schwere Sicherheitslücken in zahlreichen Office-Produkten aus Redmond. Ein Leck umgeht das Sicherheitsmodell von Word bei der Ausführung von Makros, so dass diese ohne Patch automatisch gestartet werden. Eine weitere Sicherheitslücke betrifft den WordPerfect-Konverter, worüber ein Angreifer beliebige Befehle innerhalb der entsprechenden Office-Applikation ausführen kann.

Alle Office-Applikationen und weitere Microsoft-Produkte betroffen. Wie Microsoft berichtet, existiert in Visual Basic for Applications (VBA) ein schweres Sicherheitsleck, worüber ein Angreifer beliebigen Programmcode mit den Rechten des angemeldeten Anwenders ausführen kann. Da VBA in zahlreichen Microsoft-Produkten verwendet wird, sind auch etliche Applikationen von dem Sicherheitsrisiko betroffen. Ein weiteres Sicherheitsleck enthält der Access-Viewer, worüber ein Angreifer ebenfalls Programmcode auf einem fremden System ausführen kann.

Fehler in der Kennwort-Funktion des Betriebssystems. Wie Palm berichtet, weist die Kennwort-Funktion der PalmOS-PDAs Zire 71 und Tungsten T2 einen Fehler auf. Ein Patch soll dieses Problem bereinigen, so dass die Funktion wie gewünscht arbeitet.

Sicherheitslöcher erlauben Angreifer das Ausführen von Programmcode. Wie Microsoft in einem aktuellen Security Bulletin berichtet, enthält der Internet Explorer in den Versionen 5.01, 5.5 und 6.0 erneut zwei gefährliche Sicherheitslöcher, worüber ein Angreifer beliebigen Programmcode auf dem System starten kann. Ein Sammel-Patch soll diese Sicherheitslücken sowie bisherige Sicherheitslöcher in Microsofts Browser schließen und aktualisiert weitere Komponenten rund um den Internet Explorer.

MDAC-Datenbankfunktion erlaubt Angreifer Ausführung beliebigen Programmcodes. Die Datenbankkomponente Microsoft Data Access Components (MDAC) gehört zum Lieferumfang mehrerer Microsoft-Produkte und enthält nach Microsoft-Angaben ein gefährliches Sicherheitsloch, worüber ein Angreifer beliebigen Programmcode auf einem fremden System ausführen kann. Zur Abhilfe bietet Microsoft einen entsprechenden Patch an.

Update optimiert Photoshop-Routinen auf den G5. Speziell für den kürzlich in den USA ausgelieferten Power Mac G5 stellt Adobe ein Plug-In-Update für Photoshop 7 bereit, um die Bildbearbeitungs-Software auf den neuen Apple-Rechnern zu beschleunigen. Etliche Photoshop-Befehle werden mit dem Update so aktualisiert, dass sie auf den G5 optimiert sind, verspricht Adobe.

Microsoft will private Windows-Anwender besser über Sicherheitslecks informieren. In einem Interview mit der ARD-Nachrichtensendung Tagesschau gestand Microsoft Fehler ein, die bei der Benachrichtigung über Sicherheitslücken gemacht wurden. Anlass für die Einsicht bei Microsoft war die verheerende Verbreitung des Blaster-Wurms alias Lovsan, der sich innerhalb kürzester Zeit verbreitet hatte, indem eine seit rund einem Monat geschlossene Sicherheitslücke im Windows-Betriebssystem ausgenutzt wurde.

Sicherheitslecks erlauben Programmausführung. Im SQL-Server der Versionen 7.0 und 2000 sowie der Data Engine 1.0 entdeckte Microsoft drei neue Sicherheitslücken, die mit einem passenden Sammel-Patch behoben werden können. Die Sicherheitslecks erlauben es einem Angreifer unter anderem, beliebigen Programmcode auf dem Server auszuführen. Microsoft rät Systemadministratoren, den Patch schleunigst einzuspielen.

MIDI-Dateien werden durch DirectShow zum Sicherheitsrisiko. Wie Microsoft in einem aktuellen Security Bulletin mitteilt, steckt in der DirectX-Komponente DirectShow ein Sicherheitsleck, das es einem Angreifer erlaubt, über eine präparierte MIDI-Datei beliebigen Programmcode auf einem fremden System auszuführen. Microsoft bewertet das Sicherheitsleck, das in zahlreichen DirectX-Versionen enthalten ist, als kritisch, schon weil DirectX Bestandteil etlicher Windows-Versionen ist.

Patch behebt Bluetooth-Probleme im NZ90 und TG50. Für die Clié-Modelle NZ90 sowie TG50 bietet Sony einen Patch für die integrierte Bluetooth-Funktion an, der einige Probleme beheben soll. Zudem steht für den Clié NX70V ein Update bereit, damit der PalmOS-PDA mit einem optionalen Bluetooth-Memory-Stick die Steuerung einer Bluetooth-Digitalkamera übernimmt.

Patch mit zahlreichen Neuerungen für Wavelab 4.0. Steinberg bietet ab sofort einen kostenlosen Patch für Wavelab 4.0 an, um der Musik-Software einige Neuerungen zu verpassen. So beherrscht Wavelab 4.01 nun den Umgang mit Ogg-Vorbis-Dateien, erhielt eine Scripting-Unterstützung und verarbeitet Nuendo-Dateien direkt.

Sicherheitslecks erlauben die Ausführung von Programmcode. In zwei Security Bulletins berichtet Microsoft über weitere kritische Sicherheitslecks im Windows-Betriebssystem, wofür ab sofort passende Patches bereitstehen. Während eine Sicherheitslücke nur Windows XP mit installiertem Service Pack 1 betrifft, ist das andere Sicherheitsloch in mehreren Windows-Fassungen enthalten. Beide Lecks erlauben es einem Angreifer, beliebigen Programmcode auf einem fremden System auszuführen.

Zire 71 hat gelegentlich Schwierigkeiten beim Lesen von Erweiterungskarten. Palm bietet für den PalmOS-PDA Zire 71 einen Patch an, der gelegentliche Probleme beim Lesen von Erweiterungskarten bereinigen soll. Damit soll die Funktionstüchtigkeit des Erweiterungssteckplatzes wieder garantiert werden.

Ein Sicherheitsloch erlaubt einem Angreifer die Ausführung von Programmcode. In zwei Security Bulletins berichtet Microsoft über weitere Sicherheitslücken innerhalb von Windows. Während das eine Sicherheitsleck bei der Anzeige einer Webseite oder HTML-Mail auftritt und somit den Internet Explorer betrifft, benötigt man zum Ausnutzen des anderen Sicherheitslochs einen lokalen Zugang zum betreffenden Rechner. Microsoft selbst stuft beide Sicherheitslecks als gefährlich ein.

Fehler im SMB-Protokoll erlaubt einen Fernangriff. In zahlreichen Windows- und Windows-Server-Ausführungen steckt eine Sicherheitslücke, die es Angreifern erlaubt, Daten zu zerstören, das System zum Absturz zu bringen oder im schlimmsten Fall beliebigen Programmcode auszuführen. Das Sicherheitsloch steckt im SMB-Protokoll, so dass ein Angreifer nur ein speziell formatiertes Kommando senden muss.

Update für Pentium-4-Mainboards mit AC97-Soundchip. Der Hardwarehersteller EPoX hat für sechs seiner Pentium-4-Mainboards BIOS-Updates herausgebracht, die Knackser bei der Musikwiedergabe über den Onboard-AC97-Soundchip beseitigen sollen.

Auch neue Firmware für Bluetooth-Access-Points verfügbar. AVM bietet für seinen "BlueFRITZ! USB" getauften USB-Bluetooth-Adapter einen überarbeiteten CAPI-Treiber für Windows 2000 und XP an, der verschiedene neue Profile mit sich bringt und zudem eine einfachere Überwachung des Netzwerks erlaubt. Für die Bluetooth-Access-Points hat AVM ein Firmware-Update veröffentlicht. Ebenfalls aktualisiert wurde die FRITZ!-Software für alle Produkte - so unterstützt FRITZ!web nun auch Netzwerkfreigabe, Traffic Shaping, Portfreigabe und Anbieterwechsel bei "Besetzt".

Angreifer kann beliebigen Programmcode ausführen. Eine Sicherheitslücke in den Windows Media Services der Server-Versionen von Windows 2000 erlaubt es einem Angreifer, über eine speziell formatierte HTTP-Anfrage beliebigen Programmcode auszuführen oder die Internet Information Services (IIS) zum Absturz zu bringen. Zur Behebung dieser Sicherheitslücke bietet Microsoft einen passenden Patch an.

Microsoft-Webseite informiert: Alle auf PocketPC2003 aufrüstbare PDAs. Mit der am 23. Juni 2003 erschienenen WindowsCE-Version PocketPC 2003 stellt sich für viele Besitzer eines WindowsCE-PDAs die bange Frage, ob das eigene Gerät mit dem aktuellen PDA-Betriebssystem nachgerüstet werden kann. Denn dies lässt sich nicht pauschal beantworten und differiert nicht nur von Hersteller zu Hersteller, sondern auch von Modell zu Modell. Antworten auf diese Frage versucht eine eigens von Microsoft eingerichtete Webseite zu liefern - mit zweifelhaftem Erfolg. Mittlerweile wurde die Webseite erheblich überarbeitet und verbessert.

Tungsten-C-Patch bringt zahlreiche kleine Verbesserungen. Für den PalmOS-PDA Tungsten C bietet Palm ab sofort ein Patch, der einige Fehler im Gerät bereinigen soll. So soll vor allem das mögliche Löschen von MAC-Adressen verhindert und eine verlässliche Netzwerkkonfiguration durch Nutzung von MAC-Adressfilterung zugesichert werden.

Acrobat Reader und xpdf in aktualisierten Versionen verfügbar. Anfang der Woche wurde eine ungefährliche Sicherheitslücke in den Linux-Programmen Acrobat Reader und xpdf zur PDF-Ansicht entdeckt. Um das Sicherheitsleck zu stopfen, wurden nun aktualisierte Fassungen der beiden Applikationen veröffentlicht.

Unterstützung von Altivec und Soundkarten. Spielefans mit einem MacOS-X-Apple-Rechner bietet id Software nun ein Update für den 3D-Shooter "Quake 3: Arena" zum Download an. Dieses soll unter MacOS X 10.2 einige Probleme beheben, den PowerPC-Prozessor besser ausnutzen und mit einem neuen Power-PC-basierten QVM-Compiler aufwarten.

Im Juni kommen Updates für den Wireless-Router WGR614 und den Access-Point WG602. Nachdem der 54-Mbps-WLAN-Standard 802.11g nun vom IEEE-Gremium in seiner endgültigen Version abgesegnet wurde, trudeln die ersten Meldungen über angepasste Firmware-Versionen von Netzwerk-Hardware-Herstellern ein. Netgear will in der kommenden Woche (25. Kalenderwoche) auf seinen Websites mit den ersten kostenlosen Firmware-Upgrades aufwarten, welche die neuesten Spezifikationen des g-Standards berücksichtigen.

Aktuelle Version behebt ein altes Sicherheitsleck. Die Anfang April 2003 erschienene Version 6.1 von QuickTime für Windows steht nach über zwei Monaten auch in deutscher Sprache zum Download bereit. Diese Version behebt ein Sicherheitsleck der Software, worüber ein Angreifer weitgehende Kontrolle über ein System erlangen kann.

Beide Sicherheitslecks erlauben die Ausführung beliebigen Programmcodes. Wie Microsoft in einem Security Bulletin erklärt, enthält der Internet Explorer der Versionen 5.01, 5.5 und 6.0 erneut zwei schwere Sicherheitslecks, über die Angreifer beliebigen Programmcode auf einem fremden System ausführen können. Zudem steckt diese Sicherheitslücke auch im Internet Explorer 6.0 für den Windows Server 2003. Ein entsprechender Sammel-Patch steht ab sofort unter anderem in deutscher Sprache zum Download bereit.

Bis Ende des Jahres sollen nur zwei Installer-Routinen übrig bleiben. Microsoft plant, die Installer für Software-Patches zu vereinheitlichen, um so aus den derzeit acht Installern nur noch zwei zu machen. Das teilte der Chief Security Strategist Scott Charney von Microsoft mit. Eine Arbeitsgruppe soll den Plan bis Ende des Jahres umsetzen.