Updates & Patches

Microsofts Sicherheitsstrategie wird zur reinen Farce. Am Februar-Patch-Day des heutigen 11. Februar 2004 veröffentlichte Microsoft auch einen Patch für ein gefährliches Sicherheitsleck für alle Versionen des Windows Media Player. Allerdings geschah dies nicht - wie zu erwarten wäre - über das entsprechende Security Bulletin. Stattdessen veröffentlichte Microsoft alle Informationen darüber lediglich in einem Knowledge-Base-Artikel, womit die neue Sicherheitsstrategie von Microsoft jegliche Nachvollziehbarkeit verliert.

Security Bulletin für Februar 2004 neu aufgelegt; Patches für Windows-Versionen. Der ursprüngliche Plan von Microsoft - im Zuge einer neuen Sicherheitsstrategie Patches nur noch an einem monatlichen Patch-Day zu veröffentlichen - wurde offenbar aufgegeben. Denn nach nur einer Woche erschien das Security Bulletin für den Monat Februar 2004 noch einmal: Neben drei Sicherheitslöchern im Internet Explorer werden darin zwei weitere Sicherheitslecks in Windows behoben.

Sicherheitsloch erlaubt Ausführung von gefährlichem Programmcode. RealNetworks bietet Sicherheits-Patches für den RealOne Player in verschiedenen Versionen, aber auch für den RealPlayer in unterschiedlichen Varianten. Die Sicherheitslücken erlauben die Einschleusung und Ausführung beliebigen Programm-Codes und können einen "Buffer Overrun"-Fehler verursachen.

Sammel-Patch bereinigt drei Sicherheitslücken im Internet Explorer. Überraschend verlegte Microsoft den monatlichen "Patch-Day" um eine gute Woche vor und stellt nun endlich Patches gegen die Sicherheitslöcher im Internet Explorer 5.01, 5.5 und 6.0 aus dem vergangenen Jahr bereit, nachdem bereits zwei mögliche Patch-Days im Dezember 2003 und Januar 2004 diese Lücken ignorierten. Als Weiteres bereinigt der Patch ein Sicherheitsleck im Browser, worüber Programmcode unbemerkt vom Nutzer auf ein System gelangen kann.

Patch für Word 2003 erschienen; Mitte Februar 2004 Patch für Internet Explorer. Mit dem Erscheinen eines Patches für Word 2003 wird die neue Sicherheitsstrategie von Microsoft immer unverständlicher. Der eigenen Ankündigung nach wollte Microsoft eigentlich Patches für gefährliche Sicherheitslecks bei Bedarf unabhängig von dem nun monatlichen "Patch-Day" herausbringen, tat dies bislang jedoch nicht. Als überraschende Ausnahme veröffentlicht Microsoft nun einen Patch für einen aus Sicherheitsaspekten unbedeutenden Programmfehler in Word 2003. Eines der jüngsten Sicherheitslecks im Internet Explorer wird hingegen erst Mitte Februar 2004 beseitigt.

Patches für MacOS X 10.1.5, 10.2.8 sowie 10.3.2. Apple hat in einem Rutsch Patches für verschiedene MacOS-X-Ausführungen veröffentlicht, die unter anderem Sicherheitslücken beheben sollen. Aber auch einige sonstige Programmfehler will man mit dem Patch bereinigen.

Microsoft ignoriert Sicherheitsleck im Internet Explorer vom Dezember 2003. Microsoft veröffentlichte im Januar 2004 drei Security Bulletins, die verschiedene Sicherheitslecks in Microsoft-Produkten beheben sollen. Zwei der drei Sicherheitslücken werden von Microsoft als kritisch eingestuft. Unberücksichtigt blieb weiterhin das bereits Mitte Dezember 2003 entdeckte Sicherheitsleck im Internet Explorer, welches die korrekte URL in der Adresszeile des Browsers verschleiert.

Geburtstagserinnerungsfunktion verträgt sich anscheinend nicht mit Jahreswechsel. Wie Besitzer vom Tungsten E und Tungsten T3 in Internetforen berichten, macht die neue Geburtstagserinnerungsfunktion in den beiden Palm-PDAs Schwierigkeiten: So kann eine Geburtstagserinnerung dazu führen, dass sich das Gerät nicht dauerhaft ausschalten lässt, weil sich der PDA immer wieder nach etwa 10 Sekunden einschaltet. Einen Patch bietet Palm bislang nicht an.

Patch soll die Stabilität von StarOffice 7 erhöhen. Sun bietet einen Patch für das Office-Paket StarOffice 7.0 zum Download an, das zahlreiche Programmfehler beheben und eine höhere Stabilität bringen soll. Es stehen Download-Archive für Windows, Linux und Solaris auf den Sun-Servern bereit.

Netzwerk- und USB-Unterstützung überarbeitet, neue Treiber und weniger Fehler. YellowTAB hat am 9. Dezember 2003 das zweite Update für den BeOS-Nachfolger Zeta RC1 veröffentlicht. Damit werden nicht nur Fehler beseitigt, sondern auch einige Komponenten des Betriebssystems verbessert und weitere Treiber hinzugefügt.

Patch-Einspielung gelingt nur mit dem Internet Explorer. Für die am 3. Dezember 2003 bekannt gewordene Sicherheitslücke im Yahoo Messenger bietet Yahoo einen Patch, um das Problem zu bereinigen. Während der Entdecker das Sicherheitsleck als gefährlich einstuft, sieht Yahoo keine große Gefahr darin.

Palm bietet Patches für Tungsten E sowie Zire 71, Tungsten T, T2, T3 und C an. Nach dem jüngsten Desaster mit den Schwierigkeiten, die der Tungsten T3 mit SD-Cards bereitete, muss Palm erneut Patches im Zusammenspiel mit Speicherkarten bereitstellen. Der aktuelle Fall betrifft einen möglichen Datenverlust im Zusammenspiel mit Backup-Speicherkarten. Während der eine Patch für die Modelle Zire 71, Tungsten T, T2, T3 und C bei Nutzung mit der Palm-Backup-SD-Card mit 64 MByte geeignet ist, steht ein weiterer Patch speziell für den Tungsten E bereit.

Sicherheitslücken in MacOS X 10.2.8 sowie MacOS X 10.3.1. Erneut bietet Apple Sicherheits-Patches an, wobei dieses Mal zeitgleich Updates für MacOS X 10.2.8 MacOS X 10.3.x erschienen sind. Mit den Patches werden sieben Sicherheitslücken in MacOS X 10.2.8 behoben, während zwei davon auch in MacOS X 10.3.1 stecken, wogegen das Update für Abhilfe sorgen soll.

Patch von Mitte Oktober 2003 ersetzt eine Datei unter Windows XP nicht korrekt. Mitte Oktober 2003 veröffentlichte Microsoft sieben verschiedene Sicherheits-Patches für mehrere Microsoft-Produkte. Eines der Patches arbeitet auf Systemen mit Windows XP allerdings nicht korrekt, so dass dieser Patch erneuert werden musste und entsprechenden Nutzern die erneute Einspielung des Patches empfohlen wird.

Update soll Stabilität von Java erhöhen. Apple bietet ab sofort ein Java-Update für MacOS X 10.3 und höher an, das die Zuverlässigkeit und Stabilität bei der Nutzung von Java-Applets verbessern soll.

Nur Windows 2000 mit Service Pack 4 von dem Problem betroffen. Wie Microsoft mitteilt, wurde ein aus dem September 2002 stammendes Security Bulletin überarbeitet, weil der darin enthaltene Patch unter bestimmten Umständen vom Service Pack 1 für den Internet Explorer 6.0 außer Kraft gesetzt wird. Der Patch behebt eine Sicherheitslücke beim Prüfen von SSL-Zertifikaten in mehreren Windows-Systemen sowie in MacOS-Software aus Redmond.

Sicherheitslecks gestatten Angreifern unerlaubte Ausführung von Programmcode. Mit einem Schlag informiert Microsoft über mehrere Sicherheitslecks, welche in verschiedenen Produkten aus Redmond stecken. So sind neben Windows 2000, XP auch Word, Excel sowie die FrontPage Server Extensions betroffen. Ohne eingespielte Patches können Angreifer Programmcode auf einem fremden System ausführen. Alle Sicherheitslecks werden von Microsoft als kritisch eingestuft.

Angreifer können Programmcode ausführen und Dateien einsehen. Für den Internet Explorer 5.01, 5.5 und 6.0 bietet Microsoft einen Sammel-Patch an, der alle bislang veröffentlichten Sicherheits-Patches umfassen sowie fünf neue Lecks beheben soll. Ohne eingespielte Patches können Angreifer Dateien ausspionieren oder Programmcode auf einem fremden System ausführen. Alle Sicherheitslecks werden von Microsoft für mehrere Versionen des Internet Explorer als kritisch eingestuft.

Futuremark will seinen 3D-Benchmark wieder glaubwürdiger machen. Für Spiele und Anwendungen gibt es verschiedene, zum Teil auch auf die Grafikqualität drückende Treiberoptimierungen - in Benchmarks sind diese aber zwecks Vergleichbarkeit nicht unbedingt erwünscht. Aus diesem Grund hat Futuremark nun mit seinem synthetischen 3D-Benchmark "3DMark03" mittels Patch 340 neue Maßnahmen gegen Beeinflussungsversuche getroffen - und scheint damit vor allem Nvidia zu treffen.

Wichtiges Update für Zeta RC1, Entwickler-Ecke aufgemacht. Nachdem das Team von YellowTAB in der zweiten November-Woche mit der Auslieferung des noch nicht ganz fertigen BeOS-Nachfolgers Zeta starten konnte, gibt es bereits ein erstes wichtiges Update für den Release Candidate 1 (RC1). Um die Software-Entwicklung für Zeta anzutreiben, will das Softwarehaus interessierte Programmierer in Zukunft - wie man es auch von der gescheiterten Be Inc. kannte - mittels regelmäßig erscheinender technischer Artikel über die Architektur und Neuheiten von Zeta informieren.

Update soll die Zuverlässigkeit einiger Komponenten verbessern. Nach zwei bekannt gewordenen Sicherheitslücken in MacOS X 10.3 schiebt Apple nun ein erstes Update-Paket für das Betriebssystem nach, welches einerseits die beiden Sicherheits-Patches sowie einige andere Fehlerbereinigungen enthalten soll. Das Update auf MacOS X 10.3.1 wird sowohl für die Client-Versionen als auch für die Server-Ausführung angeboten.

Geringe Systemleistung nach Aus- und Einschalten behebt der Patch gleichfalls. Palm bietet ab sofort einen Patch für den Tungsten T3 an, welcher Probleme bei der Benutzung von SD-Cards etwa einen Monat nach Entdeckung des Fehlers beheben soll. Außerdem will Palm mit dem Patch eine Abhilfe gegen die geringe Systemleistung nach dem Aus- und Einschalten des Tungsten T3 liefern. Einen Grund für die Probleme mit SD-Cards nannte Palm nicht, rät aber, den aktuellen Patch zu installieren.

Neue Firmware verhindert Datenverlust bei Nutzung der Laufwerke mit MacOS X 10.3. Nachdem Apple Ende Oktober 2003 darüber informierte, dass es bei Nutzung von MacOS X 10.3 mit verschiedenen externen FireWire-Festplatten zu Datenverlust kommen kann, gibt es nun Abhilfe. Die Probleme mit den FireWire-Laufwerken mit Oxford-Chipsatz 922 behebt eine aktualisierte Firmware, welche die Versionsnummer 1.05 trägt.

Microsoft stellt Patch für Office 2003 zur Behebung des Fehlers bereit. Für das frisch auf dem Markt befindliche Office-Paket Office 2003 muss Microsoft bereits einen ersten Patch anbieten, der einen möglichen Datenverlust beim Umgang mit Dokumenten aus Office 2000 beseitigen soll.

Weiterer Patch stopft Sicherheitsleck in MacOS X 10.3. Mit einem aktuellen Security Update behebt Apple ein weiteres Sicherheitsleck in dem jüngst erschienenen MacOS X 10.3 alias Panther. Demnach weist die Terminal-Applikation im Betriebssystem ein Sicherheitsleck auf, worüber ein Angreifer ohne Berechtigung auf das System zugreifen kann.

Bislang keine Patches für frühere Versionen von MacOS X im Angebot. Nach Apple-Informationen behebt das kürzlich erschienene MacOS X 10.3 gleich 14 Sicherheitslecks in früheren Versionen von MacOS X, für welche bislang keine separaten Patches angeboten werden. Wer also derzeit ein älteres System vor Angriffen bewahren möchte, muss das kostenpflichtige Update auf MacOS X 10.3 kaufen. Als Weiteres wurde bereits ein Patch für MacOS X 10.3 veröffentlicht, welcher ein Sicherheitsleck in QuickTime Java bereinigen soll.

Neue Charaktere und verbesserte Fähigkeiten. Lange haben sich die Entwickler von Blizzard Zeit gelassen - nach mehrfachen Terminverschiebungen und einem umfangreichen Beta-Test ist der neue Patch 1.10 jetzt aber endlich veröffentlicht worden. Unter anderem bringt das Update zahlreiche neue Gegenstände und überarbeitete Charaktereigenschaften mit sich.

Sicherheitsleck erlaubt die Umgehung der Restriktionen der Java-Sandbox. Sun bietet ab sofort einen Patch für die Java Virtual Machine an, um ein Sicherheitsloch zu stopfen, worüber Angreifer die Sandbox-Restriktionen umgehen und so auf prinzipiell alle Bereiche des Rechners zugreifen können. Entdeckt wurde das Sicherheitsloch von Last Stage of Delirium (LSD) bereits Anfang Juni 2003, allerdings hat man mit einer Veröffentlichung der betreffenden Informationen gewartet, bis nun entsprechende Patches zum Download bereitstehen.

LCOS 3.20 mit neuen Funktionen und höherem Datendurchsatz. Die Lancom Systems GmbH bietet für ihre VPN-Router ein Firmware-Update auf die neue Version 3.20 des Router-Betriebssystems LCOS (Lancom Operating System) an. Neben verschiedenen Detailverbesserungen sollen Anwendern von Lancoms VPN-Routern kostenlos neue Funktionen geboten werden.

Patch umgeht die Einzel-Installation von 22 verschiedenen kritischen Updates. Gerade für diejenigen, die ihr Windows-XP-System noch nicht mit allen kritischen Sicherheits-Updates versehen haben, bietet Microsoft nun das "Update Rollup 1 for Microsoft Windows XP" an. Dieser Sammel-Patch beinhaltet alle seit dem Service Pack 1 erschienenen kritischen Sicherheits-Updates.

Microsoft macht monatlichen Patch-Rhythmus wahr. Microsoft setzt die angekündigte neue Sicherheitsstrategie mit insgesamt sieben neuen Security Bulletins in die Tat um. Alle Security Bulletins werden von Microsoft in einem so genannten Security Bulletin Summary für den Monat Oktober 2003 zusammengefasst. Steve Ballmer kündigte an, Sicherheits-Patches monatlich anbieten zu wollen, was nun Realität wurde. Fraglich bleibt, ob Microsoft eine erhöhte Sicherheitsaufmerksamkeit erreicht, indem die Anwender mit Patches derart "beworfen" werden.

Patch auf MacOS X 10.2.8 in fehlerbereinigter Version erschienen. Apple bietet das Mitte September 2003 zurückgezogene Update für MacOS X auf die Version 10.2.8 erneut zum Download an. Mit der aktuellen Version soll es nicht mehr zu Schwierigkeiten mit den Ethernet-Funktionen kommen, wie es von einigen Anwendern beim ursprünglichen Update mit G4-Systemen berichtet wurde.

Bereits der Besuch einer Webseite genügt, um Opfer einer Attacke zu werden. In allen drei aktuellen Versionen des Internet Explorer wurden erneut schwerwiegende Sicherheitslücken entdeckt, die einem Angreifer die Ausführung von Programmcode erlauben. Ein Anwender muss lediglich eine Webseite besuchen oder eine HTML-E-Mail öffnen, um Opfer eines Angriffs zu werden. Bereits in der vergangenen Woche tauchte ein Trojaner auf, der sich das Sicherheitsleck zu Nutze macht. Microsoft bietet Sammel-Patches an, der auch frühere Sicherheitslecks im Browser beheben soll.

Download ohne weitere Erklärung seitens Apple deaktiviert. Das am gestrigen 23. September 2003 erschienene Update auf MacOS X 10.2.8 wurde Stunden später wieder von Apple zurückgezogen. Zahlreiche Beschwerden der Anwender über Probleme mit dem Update haben offenbar zu diesem Schritt geführt. Eine Erklärung von Apple findet sich auch im Security-Bereich der Apple-Seiten nicht.

Texterkennung arbeitet mit einem Update in verschiedenen Sprachen. Microsoft bietet ab sofort ein Sprach-Update für die Tablet PC Edition von Windows XP an, womit sich die wörterbuchgestützte Handschriftenerkennung in verschiedenen Sprachen nutzen lässt. Damit gibt man etwa auf einem deutschsprachigen Tablet-PC Texte in Japanisch, Französisch oder auch Chinesisch ein.

Erneut gefährliche Sicherheitslecks im RPC-Protokoll etlicher Windows-Versionen. Microsoft berichtet über zwei weitere, schwerwiegende Sicherheitslücken im RPC-Protokoll der Windows-Versionen NT 4.0, 2000, XP und der Server-Fassungen NT 4.0 Terminal Services Edition sowie Server 2003, über die ein Angreifer umfassende Kontrolle über ein fremdes System erlangen kann. Ein Mitte Juli 2003 entdecktes RPC-Sicherheitsleck sorgte im August 2003 für die explosionsartige Verbreitung des Blaster-Wurms, da viele Anwender die entsprechenden Patches nicht eingespielt hatten. Aus dieser Erfahrung heraus rät Microsoft eindringlich, den jetzt angebotenen Patch unverzüglich zu installieren.

Service Pack aktualisiert Komponenten in betagter Datenbank-Software. Ab sofort bietet Microsoft ein Service Pack für die in die Jahre gekommene Datenbank-Software Access in der Version 2.0 zum Download an. Da Microsoft bei solch alten Software-Titeln den Support längst eingestellt hat, überrascht die aktuelle Bereitstellung des Service Packs. Das Service Pack steht derzeit lediglich in englischer Sprache bereit.

Update beschert Java-Funktion kleine Verbesserungen und eine höhere Stabilität. Apple bietet ab sofort ein Java-Update für MacOS X 10.2.6 und neuer an, das zahlreiche kleine Fehler bereinigt und eine bessere Unterstützung für die Java-Nutzung in Web-Browsern bringen soll, sofern diese das Java-Plug-In verwenden.

Vermeintlich behobenes Sicherheitsleck weiterhin von Angreifern nutzbar. Wie ein Beitrag auf der Sicherheits-Mailingliste Full-Disclosure berichtet, weist der Ende August 2003 bereitgestellte Patch für den Internet Explorer einen Fehler auf, so dass das vermeintlich gestopfte Sicherheitsleck weiterhin von Angreifern ausgenutzt werden kann. Die Sicherheitslücke betrifft den Internet Explorer in den Versionen 5.01, 5.5 und 6.0.

Leck in Word umgeht Makro-Sicherheitsmodell; Makros werden automatisch gestartet. In zwei aktuellen Security Bulletins berichtet Microsoft über schwere Sicherheitslücken in zahlreichen Office-Produkten aus Redmond. Ein Leck umgeht das Sicherheitsmodell von Word bei der Ausführung von Makros, so dass diese ohne Patch automatisch gestartet werden. Eine weitere Sicherheitslücke betrifft den WordPerfect-Konverter, worüber ein Angreifer beliebige Befehle innerhalb der entsprechenden Office-Applikation ausführen kann.

Alle Office-Applikationen und weitere Microsoft-Produkte betroffen. Wie Microsoft berichtet, existiert in Visual Basic for Applications (VBA) ein schweres Sicherheitsleck, worüber ein Angreifer beliebigen Programmcode mit den Rechten des angemeldeten Anwenders ausführen kann. Da VBA in zahlreichen Microsoft-Produkten verwendet wird, sind auch etliche Applikationen von dem Sicherheitsrisiko betroffen. Ein weiteres Sicherheitsleck enthält der Access-Viewer, worüber ein Angreifer ebenfalls Programmcode auf einem fremden System ausführen kann.

Fehler in der Kennwort-Funktion des Betriebssystems. Wie Palm berichtet, weist die Kennwort-Funktion der PalmOS-PDAs Zire 71 und Tungsten T2 einen Fehler auf. Ein Patch soll dieses Problem bereinigen, so dass die Funktion wie gewünscht arbeitet.

Sicherheitslöcher erlauben Angreifer das Ausführen von Programmcode. Wie Microsoft in einem aktuellen Security Bulletin berichtet, enthält der Internet Explorer in den Versionen 5.01, 5.5 und 6.0 erneut zwei gefährliche Sicherheitslöcher, worüber ein Angreifer beliebigen Programmcode auf dem System starten kann. Ein Sammel-Patch soll diese Sicherheitslücken sowie bisherige Sicherheitslöcher in Microsofts Browser schließen und aktualisiert weitere Komponenten rund um den Internet Explorer.