Thema: Microsoft Patchday ...

[SiLæncer]

Update:
Über das Windows Update werden wie angekündigt noch zwei weitere, nicht sicherheitsrelevante Patches ausgeliefert. Das eine Update behebt Fehler in den Audio-Komponenten von Windows, das andere merzt ein Problem im Zusammenspiel zwischen Microsofts Filter-Manager und den unterschiedlichen Updatemechanismen aus, das dazu führen kann, dass auf betroffenen Rechnern Updates nicht eingespielt werden können.

Quelle : www.heise.de

[SiLæncer]

Zusätzlich zu den neuen Updates hat Microsoft zum Patchday auch zwei ältere Updates neu aufgelegt: das bereits einmal nachgebesserte kumulative IE-Update in MS06-042 und MS06-040 zum Serverdienst. Letzteres soll laut Christopher Budd aus Microsofts Sicherheitsteam Unverträglichkeiten des Patches beheben. Doch das erneuerte IE-Update birgt Überaschungen.

Group Manager Tony Chor erklärt im IEBlog den Grund für die erneute Modifikation: Man habe von einer weiteren Sicherheitslücke im Internet Explorer erfahren, die einem bereits behobenen Problem ähnele. Es tritt zwar an einer anderen Stelle im Code und auch bei anderen Programmversionen auf. Nichstdestotrotz hat man den Patch zum neuen Fehler kurzerhand nachträglich in das bereits letzten Monat veröffentlichte, kumulative Internet-Explore-Update gepackt. Das musste ohnehin schon einmal überarbeitet werden, nachdem es zunächst ein neues Sicherheitsloch aufriss.

Das Problem tritt beim Parsen überlanger URLs auf und trägt die Nummer CVE-2006-3873. Es betrifft neben Internet Explorer 5 auch IE 6, sofern die aktuellen Service Packs für Windows 2003 Server (SP1) oder XP (SP2) nicht installiert sind.

Siehe dazu auch:

    * Cumulative Security Update for Internet Explorer, Microsoft Security Bulletin MS06-042
    * Vulnerability in Server Service Could Allow Remote Code Execution, Microsoft Security Bulletin MS06-040

Quelle und Links : http://www.heise.de/security/news/meldung/78106

[SiLæncer]

Hotfix soll Fehler beseitigen

Die Fehlerkette bei Microsofts Sicherheits-Patches reißt nicht ab. Auch ein in diesem Monat veröffentlichter Sicherheits-Patch macht gehörigen Ärger. Unter bestimmten Umständen zerstört ein Sicherheits-Patch für Windows 2000 Dateien, so dass diese nicht mehr lesbar sind. Microsoft hat bereits einen Hotfix zur Beseitigung des Fehlers veröffentlicht, ein korrigierter Patch steht noch aus.

Ein Fehler im Sicherheits-Patch für Windows 2000 zieht Datenverlust nach sich, wenn als Dateisystem NTFS verwendet wird und eine Kompression für ausgewählte Verzeichnisse aktiviert ist. Wurde der Patch zur Beseitigung einer Sicherheitslücke im Windows-Kernel unter diesen Bedingungen eingespielt, werden alle neu angelegten oder veränderten Dateien unlesbar, die größer als 4 KByte sind.

Mit einem Hotfix soll sich der Fehler korrigieren lassen, bis das Sicherheits-Update in einer neuen Version erschienen ist. Microsoft empfiehlt, den Hotfix nur einzuspielen, wenn Nutzer von dem beschriebenen Problem betroffen sind.

Quelle und Links : http://www.golem.de/0609/47862.html

[SiLæncer]

Fehlerhafter Patch hat Dateien unter Windows 2000 zerstört

Die angekündigte Neuauflage des Kernel-Patches für Windows 2000 ist ab sofort verfügbar. Microsoft hatte im September 2006 einen Patch veröffentlicht, der auf Systemen mit Windows 2000 unter bestimmten Umständen Dateien zerstört, so dass diese nicht mehr lesbar sind. Der aktuelle Patch soll diesen Fehler korrigieren.
Der Fehler im Sicherheits-Patch für Windows 2000 zieht einen Datenverlust nach sich, wenn als Dateisystem NTFS verwendet wird und eine Kompression für ausgewählte Verzeichnisse aktiviert ist. Wurde der Kernel-Patch unter diesen Bedingungen eingespielt, werden alle neu angelegten oder veränderten Dateien unlesbar, die größer als 4 KByte sind.

Der betreffende Sicherheits-Patch für Windows 2000 wurde nun neu aufgelegt und sollte den Fehler nicht mehr enthalten. Somit schließt der Patch nach Herstellerangaben nur noch das Sicherheitsleck im Windows-Kernel.

Quelle und Links : http://www.golem.de/0609/48053.html

[SiLæncer]

Elf Updates will Microsoft Windows-Anwendern am kommenden Dienstag zum Download anbieten, die mehrere kritische Lücken schließen sollen. Wieviel Lücken insgesamt beseitigt werden, geben die Redmonder nicht bekannt. In der Regel bügelt ein Update aber gleich mehrere Fehler aus. Sechs der Patches sind für Windows, vier für Office und einer für das .NET-Framework. Ob sich darunter auch ein Patch für die zwei Löcher im Internet Explorer befindet, ist der Vorabinformation leider nicht zu entnehmen.

Beide Löcher werden bereits aktiv ausgenutzt, um Besucher von Webseiten mit Schädlingen und Spyware zu infizieren. Auch in Word 2000 klafft seit vier Wochen eine Lücke, die sich zum Einschleusen von Code ausnutzen lässt. Gleiches gilt für eine Schwachstelle in PowerPoint. Wie bei jedem Patchday aktualisiert Microsoft auch das Windows Malicious Software Removal Tool.

Siehe dazu auch:

    * Security Bulletin Advance Notification, Ankündigung von Microsoft

Quelle und Links : http://www.heise.de/security/news/meldung/79104

[SiLæncer]

Hatte Microsoft am Freitag vergangener Woche noch elf Updates für den Oktober-Patchday angekündigt, veröffentlichte das Unternehmen am heutigen Dienstag jedoch nur zehn Softwareaktualisierungen. Die Auslieferung macht allerdings Probleme: Im Blog von Microsofts Sicherheitsteam schreibt Craig Gehre, dass aufgrund von Netzwerkproblemen die Updates noch nicht via Microsoft Update, Automatic Updates, Windows Server Update Services (WSUS) und Windows Update v6 verteilt werden – die Techniker würden sich jedoch eifrig um eine Lösung bemühen. Wer die Patches jetzt schon einspielen möchte, muss sie sich über die Links in den Security Bulletins herunterladen.

Von den zehn Updates schließen sechs kritische Lücken in Windows und in Office. Ein Patch behebt eine als "hoch"-wichtig eingestufte Lücke im Serverdienst und zwei Updates bügeln jeweils eine mittelkritische Sicherheitslücke in ASP.Net sowie im Windows Object Packager aus. Ein weiterer Softwareflicken beseitigt ein von Microsoft mit niedriger Relevanz bewertetes Denial-of-Service-Leck im TCP/IP-Stack.

Der Patch zur Sicherheitsmeldung MS06-057 soll die bereits aktiv ausgenutzte WebView-Schwachstelle im Internet Explorer schließen – vor dem Einspielen des Patches sollte ein möglicherweise installierter inoffizieller Patch deinstalliert werden. Die Lücke im Multimedia Control daxctle.ocx für DirectAnimation bleibt indes weiter offen. Das Security Bulletin MS06-058 behandelt vier Schwachstellen in PowerPoint, durch die Angreifer mit manipulierten Dokumenten die Kontrolle über ein System übernehmen könnten.

Auch in Excel behebt ein Update vier Fehler, aufgrund derer eingeschmuggelter Code ausgeführt werden könnte. Die schon seit über einem Monat in Word klaffende und aktiv ausgenutzte Sicherheitslücke schließt ein Patch zum Security Bulletin MS06-060 – und außerdem drei weitere, bislang unbekannte Sicherheitslücken. Die Vier scheint an diesem Patchday eine besondere Zahl zu sein: soviele Lücken schließt ein weiteres Update aus der Sicherheitsmeldung MS06-062 allgemein in Microsoft Office.

Ebenfalls kritisch sind die Lücken im XML-Core-Service. Beim Verarbeiten von Extensible Stylesheet Language Transformations (XSLT) kann ein Pufferüberlauf auftreten und so beliebiger, eingeschleuster Programmcode ausgeführt werden. Außerdem kann das XMLHTTP-Active-X-Modul vertrauliche Daten preisgeben.

Nur als "hoch"-wichtig stuft Microsoft zwei Lücken in den Server-Services ein. Mittels manipulierter Pakete an den Dienst können Angreifer einen betroffenen Rechner lahmlegen. Weiterhin könnten präparierte SMB-Pakete unter Umständen sogar dazu führen, dass darin enthaltener Schadcode ausgeführt wird.

Für das .Net-Framework 2.0 stellen die Redmonder ein als "mittel"-wichtig eingestuftes Update bereit, dass ein Cross-Site-Scripting-Leck abdichtet. Ebenfalls mittel ist die Einschätzung für den Patch des Object Packager. Angreifer könnten durch die damit geschlossene Sicherheitslücke Dialogfelder fälschen. Der letzte der Oktober-Patches behebt Fehler in der IPv6-Implementierung des TCP/IP-Stacks, in dem präparierte IPv6-Pakete zu einem Denial-of-Service führen können.

Da die Updates derzeit nur über Windows Update v4 und SUS verteilt werden, müssen Privatanwender, die ihren Rechner zeitnah absichern möchten, die Updates für ihr System aus den Security Bulletins heraussuchen, von Hand herunterladen und selber installieren. Da in der Vergangenheit kurz nach der Veröffentlichung von Details die Lücken aktiv ausgenutzt wurden, ist dieses Vorgehen dringend anzuraten.

Siehe dazu auch:

    * Security Bulletin Summary for October, 2006 Zusammenfassung von Microsoft (englisch)
    * Security Bulletin Summary für Oktober 2006, Zusammenfassung von Microsoft (deutsch)
    * Sicherheitsanfälligkeit in Windows Explorer kann Remotecodeausführung ermöglichen, Security Bulletin MS06-057 zur WebView-Sicherheitslücke
    * Sicherheitsanfälligkeiten in Microsoft PowerPoint können Remotecodeausführung ermöglichen, Security Bulletin MS06-058 zu den PowerPoint-Schwachstellen
    * Sicherheitsanfälligkeit in Microsoft Excel kann Remotecodeausführung ermöglichen, Security Bulletin MS06-059 zu Schwachstellen in Excel
    * Sicherheitsanfälligkeiten in Microsoft Word können Remotecodeausführung ermöglichen, Security Bulletin MS06-060 zu Sicherheitslücken in Word
    * Sicherheitsanfälligkeiten in Microsoft Office können Remotecodeausführung ermöglichen, Security Bulletin MS06-062 zu Microsoft-Office-Schwachstellen
    * Sicherheitsanfälligkeiten in Microsoft XML Core Services können Remotecodeausführung ermöglichen, Security Bulletin MS06-061 zu Sicherheitslücken im XML-Core-Service
    * Sicherheitsanfälligkeit im Serverdienst kann Denial-of-Service ermöglichen, Security Bulletin MS06-063 zu Sicherheitslücken im Serverdienst
    * Sicherheitsanfälligkeit in ASP.NET kann Offenlegung von Informationen ermöglichen, Security Bulletin MS06-056 im .Net-Framework 2.0
    * Sicherheitsanfälligkeit in Windows Object Packager kann Codeausführung von Remotestandorten aus ermöglichen, Security Bulletin MS06-065
    * Sicherheitsanfälligkeiten in TCP/IP können Denial-of-Service ermöglichen, Security Bulletin MS06-064

Quelle und Links : http://www.heise.de/security/news/meldung/79277

[SiLæncer]

Inzwischen sind die Probleme mit den Update-Servern behoben, sodass die Patches wie gewohnt eingespielt werden können.

[SiLæncer]

Bei der Installation eines der Sicherheits-Updates aus der letzten Woche kann es erforderlich sein Windows Update mehrmals auszuführen, damit die richtigen Updates installiert werden.

Am 10. Oktober hat Microsoft im Rahmen des monatlichen Patch Day das Security Bulletin MS06-061 veröffentlicht, das eine kritische Sicherheitslücke im Microsoft XML Parser behandelt. Es ist möglich, dass auf einem PC mehrere Versionen des XML Parsers oder der Microsoft XML Core Services (MSXML) installiert sind.

In diesem Fall empfiehlt Microsoft in einem Support-Dokument , dass Anwender das automatische Windows Update mehrmals ausführen. Erst dann werden zusätzliche Update-Pakete zum Download angeboten, die erforderlich sind, um alle installierten Versionen zu aktualisieren.

Wer die Version 2.6 des XML Parsers installiert hat, kann diese nach der Installation des Sicherheits-Updates aus MS06-061 nicht mehr im Internet Explorer verwenden. Für diese Komponente wird durch das Update das so genannte "Kill-Bit" gesetzt, ein Registry-Eintrag, der die Verwendung im Internet Explorer deaktiviert. Dies betrifft auch Anwender, die auf Anwendungen von Microsoft Commerce Server 2002 Business Desk zugreifen wollen.

In einem weiteren Support-Dokument führt Microsoft die verschiedenen Versionen des XML Parsers und die Versionsnummern der jeweils zugehörigen Systembibliotheken (DLLs) auf, die mit verschiedenen Microsoft-Produkten (wie Office oder IE) installiert werden. Sie können den Microsoft Baseline Security Analyzer (MBSA) verwenden, um zu überprüfen, ob alle erforderlichen Updates installiert wurden.

Quelle : www.pcwelt.de

[SiLæncer]

Am kommenden Dienstag will Microsoft sechs sicherheitskritische Updates herausgeben. Eines der Updates schließt eine Lücke in den XML-Core-Services. Wieviele Lücken die Updates insgesamt schließen, ist unklar – in der Vergangenheit hat ein Update häufiger gleich mehrere Schwachstellen korrigiert. Zusätzlich kündigt der Softwareriese noch zwei nicht sicherheitsrelevante Aktualisierungen mit hoher Priorität an, die über Microsoft Update sowie den Update-Server WSUS verteilt werden sollen.

Für die Sicherheitslücke in den XML-Core-Services der Version 4 ist inzwischen Exploit-Code frei verfügbar. Diesen Schadcode nutzen Kriminelle schon auf diversen Webseiten. Microsoft stuft den Patch daher auch als kritisch ein; der Patch erfordert einen Neustart der betroffenen Maschinen. Fünf weitere Sicherheitsupdates betreffen die Windows-Betriebssysteme. Mindestens eines dieser Updates gilt bei Microsoft ebenfalls als kritisch. Einige Aktualisierungen davon erfordern einen Neustart des Rechners, um aktiv zu werden.

Damit bleibt auch nach dem Patchday eine Sicherheitslücke in Powerpoint, die kurz nach dem Oktober-Patchday entdeckt und seitdem ausgenutzt wurde, wahrscheinlich offen; Microsoft hat keine Patches für Office angekündigt. Möglicherweise beheben die Entwickler jedoch einen Fehler im ActiveX-Control daxctle.ocx für DirectAnimation, der seit nunmehr zwei Monaten aktiv zum Kompromittieren von Windows-Rechnern ausgenutzt wird.

Ob die Redmonder das Update auf den Internet Explorer 7 als nicht sicherheitsrelevant einstufen oder ob es zu den fünf Windows-Updates gehört, erläutert die Patchday-Ankündigung Microsofts nicht. Wer jedoch das automatische Update verhindern möchte, findet in einem Artikel auf heise Security Hilfestellung.

Siehe dazu auch:

    * Microsoft Security Bulletin Advance Notification, Patchday-Ankündigung von Microsoft

Quelle und Links : http://www.heise.de/security/news/meldung/80817

[SiLæncer]

Am November-Patchday bringt Microsoft wie angekündigt sechs Updates heraus. Fünf davon stufen die Redmonder als "kritisch" ein, eines erhält die Einstufung "hoch". Durch jede der Schwachstellen könnten Angreifer unter Umständen beliebigen Schadcode übers Netz einschleusen und die Kontrolle über ungepatchte Systeme übernehmen.

Wie erwartet schließt Microsoft die Schwachstelle in den XML Core Services (MS06-071), die den Internet Explorer unter Umständen zum Einfallstor für Schadsoftware werden ließen. Laut Advisory ist neben der nicht standardmäßig installierten Version 4.0 auch 6.0 betroffen. Außerdem stopfen die Windows-Entwickler eine bislang offenbar unbekannte Lücke im Arbeitsstationsdienst (MS06-070) von Windows 2000 und XP.

Von dem Sicherheitsloch im Macromedia Flash Player (MS06-069) sind nur XP-Anwender, dann aber sowohl mit 32- als auch 64-Bit-Systemen betroffen. Die Schwachstelle im Microsoft Agent (MS06-68) findet sich durch die Bank in allen Windows-Versionen außer in Windows Vista. Mit dem kumulativen Sicherheitsupdate für den Internet Explorer 5 und 6 (MS06-067) beheben die Entwickler zwei seit September aktiv ausgenutzte Programmierfehler im DirectAnimation-Control daxctle.ocx sowie eine Schwachstelle im HTML-Rendering.

Als einziges November-Update ist das Update für den NetWare-Client (MS06-066) mit der zweithöchsten Stufe "hoch" bewertet. Es betrifft lediglich 32-Bit-Installationen von Windows 2000, XP und Server 2003, sofern der fehlerhafte Netzwerkdienst aktiviert wurde.

Abseits des Patchdays und ohne Ankündigung liefert Microsoft nun die fehlerbereinigte Version der 4.100.15.5 der WLAN-Treiber von Broadcom aus. Beim Einsatz einer älteren Version können Angreifer unter Umständen per Funknetz die vollständige Kontrolle über das System übernemen. Um den neuen Treiber zu erhalten, müssen Anwender auf der Windows-Update-Seite den Punkt "Benutzerdefinierte Suche" und dann in der linken Spalte "Hardware, optional" auswählen.

Das Update auf den Internet Explorer 7 ist ebenfalls nicht Teil des November Patchdays. Microsoft hat angekündigt, die neue Version des Browsers allen Anwendern automatisch als Sicherheitsupdate auszuliefern und in einigen englischsprachigen Regionen bereits damit begonnen. In Deutschland soll es laut Microsoft erst ab dem morgigen 15. November soweit sein. Wer den Zeitpunkt des Umstiegs selbst bestimmen möchte, muss deshalb nicht das automatische Update abschalten. Eine Anleitung auf heise Security beschreibt, wie sich das IE-Upgrade verhindern lässt.

Siehe dazu auch:

    * Microsoft Security Bulletin – Zusammenfassung für November 2006, Informationen von Microsoft zum November-Patchday
    * Sicherheitsanfälligkeit in Microsoft XML Core Services kann Remotecodeausführung ermöglichen, Security Bulletin MS06-071
    * Sicherheitsanfälligkeit im Arbeitsstationsdienst kann Remotecodeausführung ermöglichen, Security Bulletin MS06-070
    * Sicherheitsanfälligkeit im Arbeitsstationsdienst kann Remotecodeausführung ermöglichen, Security Bulletin MS06-069
    * Sicherheitsanfälligkeit in Microsoft Agent kann Remotecodeausführung ermöglichen, Security Bulletin MS06-068
    * Kumulatives Sicherheitsupdate für Internet Explorer, Security Bulletin MS06-067
    * Sicherheitsanfälligkeiten im Client Service für NetWare können Codeausführung von Remotestandorten aus ermöglichen, Security Bulletin MS06-066

Quelle und Links : http://www.heise.de/newsticker/meldung/81035

[SiLæncer]

Am Dienstag kommender Woche findet wieder Microsofts allmonatlicher Patchday statt. Das Unternehmen kündigt sechs Updates für den Dezember an. Fünf der Sicherheitsupdates betreffen Windows und schließen mindestens eine als kritisch eingestufte Lücke. Ein weiteres Update soll Schwachstellen in Microsofts Visual Studio beseitigen, darunter ebenfalls eine kritische. Einige der Patches erfordern einen Rechnerneustart.

Da Microsoft in den Patchday-Vorankündigungen generell keine Informationen zu den Schwachstellen herausgibt, die die Updates beseitigen sollen, lassen sich nur Vermutungen anstellen. Bei der kritischen Visual-Studio-Schwachstelle könnte es sich um das fehlerhafte ActiveX-Modul WMI-Object-Broker handeln, in dem ein Sicherheitsleck seit über einem Monat bekannt ist. Angreifer versuchen bereits fast ebenso lange, diese Lücke mit präparierten Webseiten auszunutzen.

Die Redmonder untersuchen inzwischen eine Schwachstelle im Media-Player, durch die Angreifer mit manipulierten ASX-Playlisten , die sie beispielsweise in Webseiten einbetten, Schadcode auf die Rechner ihrer Opfer einschmuggeln können. Möglicherweise ist ein Patch dafür bis kommenden Dienstag fertig – bei löchrigen DRM-Komponenten sind die Entwickler zumindest recht zügig mit aktualisierten Fassungen. Die Schwachstelle in der Textverarbeitung Word bleibt wohl einen weiteren Monat offen, da Microsoft keine Updates für die Office-Pakete erwähnt.

Neben den Sicherheitsupdates will der Softwareriese außerdem noch vier weitere, nicht sicherheitsrelevante Updates über Windows-Update und SUS verteilen. Über Microsoft-Update und WSUS plant das Unternehmen sogar zehn dieser Updates zu verbreiten. Außerdem kommt am Patchday auch wieder eine aktualisierte Fassung des Malicous Software Removal Tools auf die Rechner.

Siehe dazu auch:

    * Microsoft Security Bulletin Advance Notification, Patchday-Ankündigung von Microsoft

Quelle und Links : http://www.heise.de/security/news/meldung/82227

[SiLæncer]

Am letzten planmäßigen Patchday des Jahres 2006 legt Microsoft sogar noch ein Update zu den ankündigten sechs Patches drauf. Für Patches der Zero-Day-Lücken in Word hat es jedoch noch nicht gereicht.

In sieben Bulletins beschreiben die Redmonder 11 Sicherheitslücken, die ihre schon zur Verteilung bereit gestellten Patches schließen sollen. Die wichtigsten, und kritischsten davon betreffen den Internet Explorer, der nach der Installation des Updates vier Lücken weniger aufweisen soll sowie den Windows Media Player 9 und 10, die sich bis dato beim Parsen manipulierter ASX- und ASF-Dateien Schadcode unterschieben ließen. Zwei der Lücken in Internet Explorer 6 ließen sich ebenfalls ausnutzen, um Besucher von Webseiten mit Schädlingen zu infizieren. Eine davon machte sich einen Speicherfehler beim Versuch des Browsers zunutze, mehrere gleichzeitig auftretende Skriptfehler zu verarbeiten. Die andere beruht auf bestimmten DHTML-Skriptfunktionen mit fehlerhaft erzeugten Elementen. Die restlichen zwei Fehler im Browser ermöglichen es einem Angreifer nur, auf den Ordner "Temporary Internet Files" zuzugreifen und so unter Umständen an vertrauliche Informationen zu gelangen. Der Internet Explorer 7 ist von keiner der Lücken betroffen.

Auch die sechs Wochen alte Lücke in WMI-Broker-Objekt des ActiveX-Control unter Visual Studio 2005 ist nun geschlossen. Die Lücke fand sich allerdings nicht in der kompletten Serie der Entwicklungsumgebung, sondern nur in Visual Studio 2005 Standard Edition, Visual Studio 2005 Professional Edition, Visual Studio 2005 Team Suite, Visual Studio 2005 Team Edition for Developers, for Architects sowie for Testers.

Sowohl Windows 2000, XP und 2003 (jeweils alle Service Packs) waren vor dem Patchday für Angriffe über das Netzwerkmanagementprotokoll SNMP verwundbar, sofern es installiert war. Microsoft stuft den Fehler deshalb wahrscheinlich auch nur als "Important" ein. Ein Buffer Overflow ermöglichte es Angreifern über manipulierte SNMP-Pakete, Code in den Rechner zu schleusen und mit Systemrechten zu starten. Auch nur als "Wichtig" ordnet der Softwarekonzern eine Lücke XP und 2003 ein: Über präparierte File Manifests kann ein angemeldeter Anwender seine Zugriffsrechte auf dem System ausweiten. Manifest-Dateien sind XML-Dateien, die definieren, wie Windows die Visualisierung eines Programmes vornehmen soll.

Mit einer Lücke in der Adressbuchverwaltung von Outlook Express 5.5 und 6 wurden Windows-Anwender bereits im April dieses Jahres konfrontiert. Beim Import bestimmter Windows Address Books (.wab) trat ein Pufferüberlauf mit den bekannten Folgen auf. Offenbar gab es dort noch einen zweiten ungeprüften Puffer beim Einlesen von WABs, der nun behoben ist. Zuletzt beseitigt Microsoft noch eine Schwachstelle im Remote Installation Service (RIS) unter Windows 2000, einer Methode um im Pre-boot Execution Environment (PXE) Software zu verteilen und zu installieren. Offenbar wird dabei ein TFTP-Server gestartet, der jedermann (anonymous) Zugriff auf das System gewährt. Ein Angreifer kann dabei eigene Dateien auf dem System an beliebiger Stelle ablegen. Das soll nach dem Update nicht mehr möglich sein.

Zum Zeitpunkt der Erstellung des Artikels waren die Bulletins und die Zusammenfassung nur in englisch verfügbar. Anwender sollten zumindest die Updates für den Internet Explorer baldigst installieren -- oder auf den Internet Explorer 7 umsteigen.

Siehe dazu auch:

    * Microsoft Security Bulletin Summary for December, 2006, Zusammenfassung von Microsoft (englisch)
    * Vulnerability in Visual Studio 2005 Could Allow Remote Code Execution, Bulletin von Microsoft (englisch)
    * Vulnerability in Windows Media Format Could Allow Remote Code Execution, Bulletin von Microsoft (englisch)
    * Vulnerability in SNMP Could Allow Remote Code Execution, Bulletin von Microsoft (englisch)
    * Vulnerability in Windows Could Allow Elevation of Privilege, Bulletin von Microsoft (englisch)
    * Cumulative Security Update for Outlook Express, Bulletin von Microsoft (englisch)
    * Vulnerability in Remote Installation Service Could Allow Remote Code Execution, Bulletin von Microsoft (englisch)

Quelle und Links : http://www.heise.de/security/news/meldung/82436

[SiLæncer]

Am kommenden Patchday, Dienstag, den 9. Januar, will Microsoft acht Security Bulletins nebst Sicherheits-Updates für Lücken in Windows, Visual Studio und Office herausgeben. Darunter wird auch jeweils mindestens eine kritische Lücke in Windows und Office sein, über die sich Schadcode in einen Windows-PC schleusen und ausführen lässt. Ob die drei, seit bald vier Wochen bekannten Sicherheitslöcher in Word geschlossen werden, ist nicht klar. Traditionell gibt Microsoft in seiner Ankündigung für den Patchday keine Details an. Daher ist auch nicht ersichtlich, wieviel Schwachstellen die Updates ingesamt schließen. Am letzten Patchday des Jahres 2006 wurden mit sieben Updates 11 Löcher gestopft.

Administratoren können sich schon darauf einstellen, dass einige der Updates einen Neustart des System benötigen, um wirksam zu werden. Neben den Patches geben die Redmonder auch wieder ein aktualisiertes Windows Malicious Software Removal Tool heraus. Zudem kündigt der Hersteller zwei nicht sicherheitsrelevante, aber hoch priorisierte Updates an, die per Windows Update (WU) und Software Update Services (SUS) zu verteilen.

Siehe dazu auch:

    * Microsoft Security Bulletin Advance Notification, Ankündigung von Microsoft

Quelle und Links : http://www.heise.de/security/news/meldung/83225

[SiLæncer]

Wie Softwarehersteller Microsoft am gestrigen Freitag, dem 5. Januar, in einem Update einer Web-Nachricht mitteilte, sollen vier der ursprünglich acht Sicherheitspatches, die für den "Patchday" am kommenden Dienstag angekündigt waren, zunächst nicht erscheinen.

Drei der vier verbleibenden Updates betreffen Lücken bei Office, von denen mindestens eine als "critical" eingestuft wird. Das vierte soll ein Sicherheitsproblem bei Windows lösen, das ebenfalls als "critical" gekennzeichnet ist.

Die vier weggefallenen Patches, die noch am vergangenen Donnerstag in Aussicht gestellt worden waren, werden Microsoft zufolge an einem der nächsten "Patchdays" nachgereicht. Alle vier betreffen offenbar Windows-Probleme, wobei einer sich zugleich auf die Entwicklungsumgebung Visual Studio und einer auf Office bezieht. Einer der Patches widmet sich einer als "critical" eingestuften Sicherheitslücke in Windows, die übrigen laufen als "important". Warum Microsoft diese angekündigten Patches so kurz vor dem Veröffentlichungstermin zurückgezogen hat, wurde nicht erläutert.

Der zweite Dienstag jedes Monats ist bei Microsoft der Termin, an dem Sicherheitspatches veröffentlicht werden, und insofern als "Patchday" bekannt.

Quelle : www.heise.de

[SiLæncer]

Entsprechend der Ankündigung veröffentlichte Microsoft zum Januar-Patchday vier der zunächst acht versprochenen Bulletins. Microsofts Office-Produkte, darunter der Mailer Outlook, sind nun um insgesamt neun zumeist kritische Lücken ärmer und auch eine vom Internet Explorer eingesetzte Grafikkomponente bekam einen dringlichen Patch spendiert. Alle Bulletins behandeln Lücken, durch die Angreifer unter Umständen übers Netz Schadcode einschleusen und zur Ausführung mit Anwenderrechten bringen können.

Das als kritisch eingestufte Bulletin MS07-004 bezieht sich auf eine Schwachstelle in der Bibliothek zur Darstellung von Grafiken im VML-Format (Vector Markup Language). Betroffen sind Windows 2000, XP und Server 2003 sowohl in den 32- als auch 64-Bit-Varianten. Da die diversen Versionen des Internet Explorer das VML-Modul zur Darstellung ihrer Grafiken einsetzen, bilden sie allerdings das Haupteinfallstor. Durch den Programmierfehler können Angreifer dem IE beim Besuchen manipulierter Webseiten unter Umständen beliebigen Schadcode unterschieben.

Microsoft Outlook 2000, XP und 2003 aus den entsprechenden Office-Paketen lässt sich wie im kritisch eingestuften Bulletin MS07-003 beschrieben von Angreifern beliebige Befehle über speziell präparierte E-Mails erteilen. MS07-002 befasst sich mit ebenfalls kritischer Priorität mit der Tabellenkalkulation Excel in MS-Office 2000, XP, 2003, Works Suite 2004 und 2005 sowie den Mac-Versionen Office 2004 und v. X. Diese kommen durch manipulierte Tabellendokumente aus dem Tritt und beginnen unter Umständen, enthaltenen Schadcode auszuführen.

Benutzer der brasilianisch-portugiesischen Rechtschreibprüfung sollten bis zum Einspielen des Patches besonders genau hinsehen, ob sie nicht versehentlich einen Absatz Schadcode auf Schreibfehler testen lassen. Dieser könnte in der Version 2003 von Office, Visio und Project unter Umständen Schadsoftware auf dem System installieren. Da die brasilianisch-portugiesische Korrekturfunktion allerdings keine große Anwenderschaft besitzen und somit ein weniger lohnendes Ziel abgeben dürfte, trägt das zuständige Bulletin MS07-001 lediglich den Schweregrad "Hoch".

Damit bleibt in Microsoft-Produkten eine ganze Reihe kritischer Sicherheitslücken, für die bereits funktionsfähige Exploits kursieren, weiterhin offen, wie eine aktuelle Übersicht des ISC zeigt. Insbesondere den Exploits für die drei ungepatchten Word-Lücken und die seit Oktober bekannte Schwachstelle im ActiveX-Control ADODB könnten allein bis zum kommenden Patchday noch so einige ungeschützte Systeme zum Opfer fallen.

Welche vier Bulletins kurz vor der heutigen Veröffentlichung zurückgezogen wurden und aus welchem Grund, bleibt unklar. Mit der Installation der nun per Microsoft-Update verteilten Patches für die genannten Schwachstellen sollten Anwender beziehungsweise Admins gemäß der Empfehlungen aus Redmond allerdings möglichst bald beginnen.

Siehe dazu auch:

    * Microsoft Security Bulletin Summary für Januar 2007, Zusammenfassung zum Patchday von Microsoft
    * Sicherheitsanfälligkeit in Vector Markup Language kann Remotecodeausführung ermöglichen (925486), Microsoft-Bulletin MS07-004
    * Sicherheitsanfälligkeiten in Microsoft Outlook können Remotecodeausführung ermöglichen (925938), Microsoft-Bulletin MS07-003
    * Sicherheitsanfälligkeiten in Microsoft Excel können Remotecodeausführung ermöglichen (927198), Microsoft-Bulletin MS07-002
    * Sicherheitsanfälligkeit in Microsoft Office 2003 in der Grammatikprüfung für Portugiesisch (Brasilien) kann Remotecodeausführung ermöglichen (921585), Microsoft-Bulletin MS07-001


Quelle und Links : http://www.heise.de/security/news/meldung/83458