Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Software (https://www.dedies-board.de/wbb2/board.php?boardid=15)
--- Software News (https://www.dedies-board.de/wbb2/board.php?boardid=24)
---- Softwarenews-Archiv (https://www.dedies-board.de/wbb2/board.php?boardid=38)
----- Microsoft kündigt 7 Patches für Dienstag an (https://www.dedies-board.de/wbb2/thread.php?threadid=1218)

Geschrieben von dedie am 10.02.2006 um 13:00:

Update Microsoft kündigt 7 Patches für Dienstag an

Für den Microsoft-Patchday am kommenden Dienstag kündigen die Redmonder insgesamt sieben Security Bulletins an, von denen vier die Windows-Betriebssysteme betreffen, eines den Windows Media Player, noch ein weiteres Windows und Office sowie eines nur das Microsoft Office. Die Updates für den Media Player stuft Microsoft als kritisch ein, ebenso mindestens eines der Windows-Updates – dies bedeutet üblicherweise, dass über die gestopfte Lücke eingeschleuster Code zur Ausführung kommen kann.

Welche Schwachstellen in den jeweiligen Produkten behoben werden, erläutert der Softwareriese wie üblich nicht in der Patchday-Ankündigung. Die Updates für Windows und für das Microsoft Office werden einen Neustart des Systems erfordern, ist der Ankündigung zu entnehmen.

QUELLE


Geschrieben von dedie am 14.02.2006 um 20:45:

Update Microsoft: Sieben auf einen Streich

Wie angekündigt veröffentlichte Microsoft sieben Patches zum Februar-Patchday – zwei davon beheben als kritisch eingestufte Sicherheitslöcher.

Das Security-Bulletin MS06-004 behebt eine kritische WMF-Lücke unter Windows 2000 im Zusammenspiel mit dem Internet Explorer 5.01; sie hat aber nichts mit der WMF-Lücke zu tun, die Ende vergangenen Jahres entdeckt wurde. Das zweite kritische Sicherheitsleck betrifft den Windows Media Player ab Version 7 in den Betriebssystemen von Windows 2000 bis Windows Server 2003. Dieser patzt beim Verarbeiten von präparierten Bitmaps, was Angreifer über manipulierte Webseiten oder E-Mails ausnutzen könnten, um in das System einzudringen.

Nur als "Important", also wichtig, stuft das Redmonder Unternehmen einen Fehler im Windows-Media-Player-Plugin für nicht-Microsoft-Webbrowser ein. Durch eine fehlerhafte Verarbeitung von EMBED-Tags könnte ein Angreifer Code über Webseiten oder E-Mails einschmuggeln und zur Ausführung bringen.

Windows XP ab SP1 und Windows Server 2003 sowie deren 64-Bit-Pendants sind anfällig für einen Denial-of-Service durch präparierte IGMPv3-Pakete. Das Internet Group Management Protocol dient zur gezielten Bedienung von dynamisch erstellten Gruppen mit IP-Paketen im Multicast-Verfahren. Mit dem Security-Bulletin MS06-007 schließt Microsoft diesen wunden Punkt. Dieselben Betriebssysteme lassen sich ohne das Update MS06-008 über Web-Client-Anfragen Code unterschieben, wodurch Angreifer die vollständige Kontrolle über die Rechner erlangen können. Der Web-Client dient dazu, Dateien nach dem WebDAV-Standard im Internet zu bearbeiten und abzulegen.

Einen weiteren Fehler, durch den Benutzer ihre Berechtigungen erhöhen können, behebt Microsoft in Office 2003, Windows XP ab SP1 und Windows Server 2003. Der Eingabe-Editor für koreanische Schriftzeichen (Input Method Editor, IME) stellt in manchen Fällen Funktionen mit dem Kontext LocalSystem bloß. Die letzte gestopfte Lücke des heutigen Patchdays betrifft Microsofts Präsentationsprogramm Powerpoint 2000. Sie ermöglicht unbefugten Benutzern über das Netz den Zugriff auf Dateien im Ordner Temporary Internet Files, wenn ihnen die Dateinamen bekannt sind.

Es ist zu erwarten, dass nun nach der Veröffentlichung von Details zu den Lücken sehr bald Exploits im Netz auftauchen, die diese Schwachstellen ausnutzen. Daher sollten die Microsoft-Updates zügig eingespielt werden, beispielsweise durch manuelles Anstossen des Windows Update.


QUELLE