Thema: Microsoft Patchday ...

[SiLæncer]

In einem TechNet-Eintrag kündigt Microsoft an, am Dienstag, den 28. Juli, zwei außerplanmäßige Sicherheitspatches für den Internet Explorer und Visual Studio zu veröffentlichen. Dies ist insofern ungewöhnlich, da der Softwarehersteller üblicherweise Software-Aktualisierungen gebündelt am zweiten Dienstag eines Monats, dem sogenannten Patchday ausliefert. Dies deutet auf eine besonders schwerwiegende Sicherheitslücke hin.

Betroffen sind die Versionen 5,6,7 und 8 des Internet Explorers, Visual Studio .NET 2003, 2005 und 2008 sowie Visual C++ 2005 und 2008 unter den Betriebssystemen Windows 2000, XP, Vista sowie Server 2003 und 2008. Weitere Details zu den Patches will Microsoft in einem Webcast am Dienstag um 13 Uhr Pacific Time (22 Uhr MESZ) bekanntgeben.

In der Szene wird spekuliert, dass die eiligen Patches mit einem Vortrag auf der ab heute in Las Vegas stattfindenden Black-Hat-Sicherheitskonferenz zusammenhängen. Dieser informiert über Schwachstellen in der Kommunikation zwischen den einzelnen Browserkomponenten. Ein gestern Nacht als Vorschau zu dem Vortrag lanciertes Video demonstriert, wie sich mit dem Aufruf einer Webseite der Windows Taschenrechner öffnet.

Augenscheinlich ist es Dowd&Co gelungen, das Killbit zu umgehen, das die Ausführung von ActiveX-Controls mit bekannten Sicherheitslücken im Internet Explorer verhindern soll. Damit stünden ihnen Tür und Tor zu einer Vielzahl von kritischen Sicherheitslücken offen, die Microsoft durch das Setzen des Killbits entschärft hat.

Quelle : www.heise.de

[SiLæncer]

Mit Updates für Internet Explorer und Visual Studio bessert Microsoft außerhalb des monatlichen Patchday-Reigens einen zentralen Mechanismus zum Schutz des Internet Explorers aus. Quasi nebenher beheben die Redmonder noch drei kritische Sicherheitslücken ihre Browsers. Betroffen sind alle Versionen bis hin zu Internet Explorer 8.

Das Killbit ist ein Registry-Eintrag, der verhindern soll, dass der Internet Explorer ein ActiveX-Control instantiiert, das bekannte Sicherheitslücken enthält. Microsoft nutzte diesen Mechanismus in der Vergangenheit hundertfach, um unsichere ActiveX-Komponenten aus dem Verkehr zu ziehen. Dummerweise stellte sich jetzt heraus, dass sich diese Blockade umgehen lässt. Schon morgen wollen das drei Forscher auf der Sicherheitskonferenz Blackhat demonstrieren.

Wie viele ActiveX-Kompontenten von diesem Problem tatsächlich betroffen sind, ist nicht klar und lässt sich auch den aktuellen Sicherheitsnotizen nicht entnehmen. Es kann gut sein, dass das selbst Microsoft noch nicht weiß, denn neben den eigenen ActiveX-Controls können auch die von Drittherstellern anfällig sein.

Deshalb veröffentlicht Microsoft in aller Eile noch schnell zwei Updates, die das mögliche Desaster verhindern sollen. Schnelle Abhilfe soll ein Update für den Internet Explorer bringen, das die bekannten Möglichkeiten blockiert, den Killbit-Mechanismus zu umgehen. Darüber hinaus enthält das Update zu MS09-034 noch drei weitere Patches, die ihrerseits kritische Sicherheitslücken schließen.

Die eigentliche Ursache für das Killbit-Problem liegt jedoch in der Active Template Library (ATL) von Visual Studio. Diese Bibliothek zum Entwickeln von ActiveX-Controls enthält mehrere Fehler, die es ermöglichen die Sicherheitsmechanismen des Internet Explorer zu umgehen. Mit MS09-035 veröffentlichen die Redmonder ein Update für Visual Studio, das sich primär an Entwickler richtet, die unter Umständen nach dessen Einspielen damit ihre Software neu übersetzen müssen. Das Update betrifft alle unterstützten Versionen von Visual Studio, also 7.0, 7.1, 8.0, und 9.0. Wie Entwickler herausfinden können, ob ihre Software tatsächlich betroffen ist, soll ein MSDN-Artikel erklären (derzeit noch nicht verfügbar).

Interessant ist es, wie Microsoft mit den offensichtlichen Schwächen des eigenen Bewertungssystems kämpft. Insgesamt handelt es sich hier um ein äußerst kritisches Problem, das einen zentralen Sicherheitsmechanismus von Windows zur Makkulatur macht. Trotzdem erhält das Update für Visual Studio nur eine mittlere Bewertung, da nach der Redmonder Logik Visual Studio selbst ja nicht bedroht ist und die Anwender der Entwicklungsumgebung keine direkte Gefahr laufen. In der Sicherheitsnotiz für das IE-Update wird der neue Killbit-Schutz nur ganz am Rande als zusätzliche "Defense-in-Depth" erwähnt; bei der Bewertung taucht er gar nicht auf. Die höchste Einstufung "kritisch" verdankt der Patch somit den drei anderen Sicherheitslücken. Man fragt sich, wie Microsoft die offensichtliche Dringlichkeit wohl begründet hätte, wenn es diese Updates nicht mehr in der Schublade gehabt hätte.

Ebenfalls interessant ist es, ob der Sachverhalt mit dieser Analyse von Halvar Flake zusammenhängt, die Microsoft mit keinem Wort erwähnt. Der deutsche Sicherheitsexperte hatte bereits Anfang Juli Probleme in der ATL diagnostiziert und den Schutz durch das Killbit für unzureichend erklärt.

Klar ist, dass alle Windows-Nutzer das Internet Explorer Update so schnell wie möglich installieren sollten, um zu verhindern, dass ihr System gekapert wird. Entwickler von ActiveX-Controls müssen sich wohl oder übel baldmöglichst mit den Problemen der ATL vetraut machen und ihre Controls auf mögliche Schwachstellen untersuchen.

Siehe dazu auch:

    * MS09-034 Cumulative Security Update for Internet Explorer (972260)
    * MS09-035 Vulnerabilities in Visual Studio Active Template Library Could Allow Remote Code Execution (969706)

Quelle : www.heise.de

[SiLæncer]

Microsofts ATL-Problem zieht weite Kreise. Betroffen sind viele andere Software-Hersteller, darunter Adobe und Cisco. Wie viele Anbieter insgesamt verwundbare Controls aufweisen, ist derzeit unklar. Im Gespräch mit heise Security bestätigte Microsoft-Manager Andrew Cushman, dass man nicht wisse, wie viele ActiveX-Controls betroffen seien. Es sei das erste Mal, dass eine Microsoft-Library von einem Sicherheitsproblem betroffen ist. Die Redmonder seien sich bewusst, dass von diesem Patch nicht nur die IT-Teams in Unternehmen betroffen seien, sondern auch Softwareentwickler ans Werk müssten.

Man habe wichtige ActiveX-Control-Entwickler wie Adobe und Sun vorab informiert, um zumindest deren Controls abzusichern. Adobe hat inzwischen bestätigt, dass sowohl der Flash-, als auch der Shockwave-Player die von Microsoft gepatchte Active Template Library nutzen. Adobe betonte aber, dass nur die ActiveX-Controls verwundbar sind und nicht die Erweiterungen für Firefox und andere Browser. Für den Shockwave Player stellt Adobe bereits eine neue Version bereit, die den Fehler behebt. Beim Flash-Player soll der Patch in das ohnehin für den 30.Juli angekündigte Update eingebaut werden, das eine 0day-Lücke schließen soll, die bereits aktiv ausgenutzt wird.

Ob Suchmaschinen-Gigant und Microsoft-Konkurrent Google ebenfalls betroffene Controls im Bestand hat, weiß man bei Microsoft noch nicht, da Google sich nicht äußern will. Software-Entwicklern rät Microsoft jedenfalls, all ihre Active-X-Controls auf die jetzt veröffentlichte Schwachstelle zu überprüfen und gegebenenfalls mit dem gepatchten Template erneut zu kompilieren. Wer schnell prüfen will, ob sein Control angreifbar ist, kann einen Gratis-Online-Test von Verizon Business in Anspruch nehmen. Das Tool verarbeitet die kompilierten Controls und meldet anschließend, ob die Software verwundbar ist. Verizon Business weist jedoch darauf hin, dass sowohl falsch positive als auch falsch negative Ergebnisse möglich sind, so dass letztendlich doch nur die manuelle Kontrolle des Sourcecodes bleibt.

Die Active Template Library wird mit der Entwicklungsumgebung Visual Studio bereitgestellt und soll die Entwicklung von ActiveX-Controls vereinfachen. Die fehlerhaften Teile werden beim Übersetzen in die Erweiterung eingebaut, sodass diese dann verwundbar ist.

Quelle : www.heise.de

[SiLæncer]

Microsoft hat für den kommenden Dienstag, den 11. August, die Veröffentlichung von neun Security Bulletins angekündigt, von denen sich fünf Bulletins mehreren kritischen Lücken in Windows und Office widmen. Ein Bulletin befasst sich dabei mit einer oder mehrerer Lücken, die laut Beschreibung in Microsoft Office, Microsoft Visual Studio, Microsoft ISA Server und Microsoft BizTalk Server zu finden ist.

Daneben sollen die Updates Sicherheitslöcher in diversen Versionen von Outlook Express und dem Windows Media Player schließen. Für Vista und Server 2008 soll ein Patch ein Sicherheitsproblem in Zusammenhang mit .NET lösen.

Quelle : www.heise.de

[SiLæncer]

An jedem zweiten Dienstag des Monats ist Patch-Day, an dem Sicherheitsupdates für verschiedene Microsoft-Produkte erscheinen. Nun wurde Version 2.13 des "Windows-Tools zum Entfernen bösartiger Software" freigegeben.

Dieses Tool überprüft den Computer auf Infektionen mit bestimmter, weit verbreiteter bösartiger Software (Würmer und Trojaner) und unterstützt Sie gegebenenfalls beim Entfernen dieser Schädlinge. Microsoft weist jedoch ausdrücklich darauf hin, dass das Programm keine AntiViren-Software ersetzen soll.

Eine Liste aller mit dieser Software erkennbaren Schädlinge kann unter dem Punkt Freigabeinformationen auf den Hilfe und Support Seiten von Microsoft nachgelesen werden. Das Tool lässt sich auch mit einem Aufruf der Datei mrt.exe in Windows\System32 starten.

Microsoft bietet das Windows-Tool zum Entfernen bösartiger Software auch in einer Version für 64-Bit-Systeme an.

Homepage: http://www.microsoft.com/security/malwareremove/

Download: Windows-kb890830-v2.13.exe (8,4 Mb)

Quelle : http://winfuture.de

[SiLæncer]

Wie jeden zweiten Dienstag im Monat ist heute wieder Patch-Day bei Microsoft. Angekündigt waren neun sicherheitsrelevante Updates für Windows und Office, die teilweise als kritisch eingestuft wurden.

Um die neuen Sicherheits-Updates zu beziehen, empfehlen wir die Nutzung der Microsoft Update Website. Andernfalls besteht die Möglichkeit, sich die Update-Dateien direkt aus dem Microsoft Download-Center bzw. den im Artikel verlinkten Security Bulletins zu laden.

Folgende Sicherheits-Updates wurden heute veröffentlicht:

MS09-036 - Sicherheitsanfälligkeit in ASP.NET

Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit bezüglich Denial-of-Service in der Microsoft .NET Framework-Komponente in Microsoft Windows. Diese Sicherheitsanfälligkeit kann nur ausgenutzt werden, wenn Internet Information Services (IIS) 7.0 installiert und ASP.NET so konfiguriert ist, dass auf den betroffenen Versionen von Microsoft Windows der integrierte Modus verwendet wird. Ein Angreifer könnte speziell gestaltete anonyme HTTP-Anforderungen erstellen, die dazu führen können, dass der betroffene Webserver erst wieder reagieren kann, wenn der zugeordnete Anwendungspool neu gestartet wird. Benutzer, die IIS-7.0-Anwendungspools im klassischen Modus ausführen, sind von dieser Sicherheitsanfälligkeit nicht betroffen. Microsoft stuft das Problem als hoch ein.

Security Bulletin: MS09-036
Knowledge Base: KB970957


MS09-037 - Sicherheitsanfälligkeiten in der Microsoft Active Template Library (ATL)

Dieses Sicherheitsupdate behebt mehrere vertraulich gemeldete Sicherheitsanfälligkeiten in der Microsoft Active Template Library (ATL). Die Sicherheitsanfälligkeiten können eine Remotecodeausführung ermöglichen, wenn ein Benutzer speziell gestaltete Komponenten oder Steuerelemente lädt, die auf einer schädlichen Website gehostet werden. Das von Microsoft als kritisch eingestufte Problem betrifft alle Windows-Versionen - nur das neue Windows 7 ist sicher.

Security Bulletin: MS09-037
Knowledge Base: KB973908


MS09-038 - Sicherheitsanfälligkeiten bei der Verarbeitung von Windows Media-Dateien

Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten in der Verarbeitung von Windows Media-Dateien. Jede dieser Sicherheitsanfälligkeiten kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete AVI-Datei öffnet. Wenn ein Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, vollständige Kontrolle über ein betroffenes System erlangen. Auch dieses Problem betrifft alle aktuellen Windows-Versionen bis auf Windows 7. Microsoft stuft das Problem als kritisch ein.

Security Bulletin: MS09-038
Knowledge Base: KB971557


MS09-039 - Sicherheitsanfälligkeiten in WINS

Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten im Windows Internet Name Service (WINS). Jede der beiden Sicherheitsanfälligkeiten kann Remotecodeausführung ermöglichen, wenn ein Benutzer auf einem betroffenen System, das den WINS-Dienst ausführt, ein speziell gestaltetes WINS-Replikationspaket empfängt. Standardmäßig ist WINS bei keiner Version der betroffenen Betriebssysteme installiert. Dazu gehören Windows 2000 sowie 2003 in der Server-Version. Microsoft stuft das Problem als kritisch ein.

Security Bulletin: MS09-039
Knowledge Base: KB969883


MS09-040 - Sicherheitsanfälligkeit beim Message Queuing

Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit im Windows Message Queuing-Dienst (MSMQ). Die Sicherheitsanfälligkeit kann eine Erhöhung von Berechtigungen ermöglichen, wenn ein Benutzer eine speziell gestaltete Anforderung an einen betroffenen MSMQ-Dienst erhalten hat. Standardmäßig wird die Komponente Message Queuing nicht unter betroffenen Betriebssystemversionen installiert und kann nur von einem Benutzer mit Administratorberechtigungen aktiviert werden. Nur Kunden, die die Message Queuing-Komponente manuell installieren, können für dieses Problem anfällig sein. Betroffen sind Windows 2000 mit SP4, Windows XP mit SP2, Windows Vista und der Windows Serwver 2003 mit SP2. Microsoft stuft das Problem als hoch ein.

Security Bulletin: MS09-040
Knowledge Base: KB971032


MS09-041 - Sicherheitsanfälligkeit im Arbeitsstationsdienst

Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit im Windows-Arbeitsstationsdienst. Die Sicherheitsanfälligkeit kann eine Erhöhung von Berechtigungen ermöglichen, wenn ein Angreifer eine speziell gestaltete RPC-Nachricht erstellt und an ein betroffenes System sendet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code ausführen und vollständige Kontrolle über das betroffene System erlangen. Betroffen sind alle Windows-Versionen bis auf Windows 7 und Windows 2000.

Security Bulletin: MS09-041
Knowledge Base: KB971657


MS09-042 - Sicherheitsanfälligkeit in Telnet

Dieses Sicherheitsupdate behebt eine öffentlich gemeldete Sicherheitsanfälligkeit im Microsoft Telnet-Dienst. Die Sicherheitsanfälligkeit kann einem Angreifer ermöglichen, Anmeldeinformationen zu erhalten und sich damit bei betroffenen Systemen anzumelden. Der Angreifer erlangt dann auf einem System Benutzerrechte, die mit denen des angemeldeten Benutzers identisch sind. Dieses Szenario kann letzten Endes zu Remotecodeausführung auf betroffenen Systemen führen. Betroffen sind auch hier alle Windows-Versionen - nur Windows 7 weist diese Sicherheitslücke nicht auf. Microsoft stuft das Problem als hoch ein.

Security Bulletin: MS09-042
Knowledge Base: KB960859


MS09-043 - Sicherheitsanfälligkeiten in Microsoft Office Web Components

Dieses Sicherheitsupdate behebt mehrere vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft Office Web Components, die Remotecodeausführung ermöglichen können, wenn ein Benutzer eine speziell gestaltete Webseite anzeigt. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten. Betroffen sind Office XP, Office 2003 sowie die Web Components für Office 2000, Office XP und Office 2003. Microsoft stuft das Problem als kritisch ein.

Security Bulletin: MS09-043
Knowledge Base: KB957638


MS09-044 - Sicherheitsanfälligkeiten in Remotedesktopverbindung

Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft-Remotedesktopverbindung. Die Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn ein Angreifer einen Benutzer von Terminaldiensten erfolgreich dazu verleitet, eine Verbindung zu einem schädlichen RDP-Server herzustellen, oder wenn ein Benutzer eine speziell gestaltete Website besucht, die diese Sicherheitsanfälligkeit ausnutzt. Auch dieses Problem betrifft alle Windows-Versionen außer Windows 7 und wird von Microsoft als kritisch eingestuft.

Security Bulletin: MS09-044
Knowledge Base: KB970927

Quelle : http://winfuture.de

[SiLæncer]

Wie sich jetzt herausstellt, war die beim vorigen Patchday geschlossene, kritische Sicherheitslücke in der Office-Webkomponente (OWC) Microsoft bereits seit über zwei Jahren bekannt. Erst nachdem sie aktiv ausgenutzt wurde, ging es auf einmal schnell und innerhalb eines Monats stand der Patch bereit.

Bereits im März 2007 meldete die Zero Day Initiative (ZDI) das von Peter Vreugdenhil entdeckte Sicherheitsproblem bei Microsoft. Die ZDI erklärte den Zuständigen, dass speziell präparierte Parameter beim Aufruf msDataSourceObject() zu Fehlern in der Speicherverwaltung führen, die ein Angreifer ausnutzen kann, um Code einzuschleusen und auszunutzen. Daraufhin passierte offenbar erst einmal lange Zeit nichts – jedenfalls nichts, was die Anwender vor den Konsequenzen dieses Sicherheitsproblems geschützt hätte.

Die ZDI bestätigte die in ihrem gestern veröffentlichten Advisory angegebenen Datumsangaben. "Sie [Microsoft] benötigten immer wieder mehr Zeit, um sicherzustellen, dass das Problem wirklich richtig behoben wird", erklärte ZDI-Manager Pedram Amini gegenüber heise Security. Und es sei nun mal eine Richtlinie der ZDI, dass man dem Hersteller so viel Zeit gebe, wie er benötige.

Das Verhalten des Software-Riesen änderte sich schlagartig Anfang Juli, als bekannt wurde, dass genau diese Lücke im Internet aktiv ausgenutzt wurde, um Windows-Anwendern Schadcode unterzujubeln. Plötzlich gab Microsoft ein Advisory zu der Schwachstelle heraus und kündigte schnellstmögliche Gegenmaßnahmen an. Die kulminierten dann in weniger als einem Monat in einem Patch, der in MS09-043 einfloss und am Dienstag im Rahmen des August-Pachtdays veröffentlicht wurde.

Von Microsoft gab es auf die Frage, warum das Unternehmen für den Patch zuerst so viel Zeit benötigt habe und der Konzern dann doch recht zügig reagierte, ein verklausuliertes "kein Kommentar": "Jede Lücke ist anders", "die Qualitätssicherung kann sehr lange dauern" und "manchmal dauert es eben leider länger als im Idealfall" heißt es dazu in der Antwort auf die Anfrage von heise Security. Ob Microsoft damit auch bei den Kunden heutzutage noch durchkommt, wird sich zeigen.

Quelle : www.heise.de

[SiLæncer]

Zum nächsten Patchday am Dienstag, dem 8. September, will Microsoft fünf Updates für Windows veröffentlichen. Sie betreffen jeweils unterschiedliche Versionen. Alle betreffen Sicherheitslücken, über die ein Angreifer im schlimmsten Fall übers Netz Code einschleusen und ausführen kann – etwa um Schadsoftware auf dem System des Anwenders zu installieren. Somit stuft Microsoft alle fünf Patches in der höchsten Kategorie "kritisch" ein.

Für die Lücke im FTP-Dienst der Internet Information Services ist offenbar noch kein Patch geplant. Anfang der Woche wurde ein Skript veröffentlicht, mit dem ein Angreifer die Kontrolle über einen Server mit IIS 5 übernehmen kann, wenn dieser FTP-Dienste anbietet und dem Anwender Schreibrechte einräumt. Auch die Version 6 ist davon betroffen.

Hinzu kommt, das Microsoft offenbar eine zweite Sicherheitslücke im FTP-Dienst von IIS entdeckt hat, die auch IIS 7 betrifft, wenn dort der FTP Service 6.0 installiert ist. FTP Service 7.0 ist anscheinend nicht anfällig. Diese Lücke kann aber nur missbraucht werden, um den Dienst zum Absturz zu bringen.

Quelle : www.heise.de

[SiLæncer]

An jedem zweiten Dienstag des Monats ist Patch-Day, an dem Sicherheitsupdates für verschiedene Microsoft-Produkte erscheinen. Nun wurde Version 2.14 des "Windows-Tools zum Entfernen bösartiger Software" freigegeben.

Dieses Tool überprüft den Computer auf Infektionen mit bestimmter, weit verbreiteter bösartiger Software (Würmer und Trojaner) und unterstützt Sie gegebenenfalls beim Entfernen dieser Schädlinge. Microsoft weist jedoch ausdrücklich darauf hin, dass das Programm keine AntiViren-Software ersetzen soll.

Eine Liste aller mit dieser Software erkennbaren Schädlinge kann unter dem Punkt Freigabeinformationen auf den Hilfe und Support Seiten von Microsoft nachgelesen werden. Das Tool lässt sich auch mit einem Aufruf der Datei mrt.exe in Windows\System32 starten.

Microsoft bietet das Windows-Tool zum Entfernen bösartiger Software auch in einer Version für 64-Bit-Systeme an.

Homepage: http://www.microsoft.com/security/malwareremove/

Download: Windows-kb890830-v2.14.exe (8,6 Mb)

Quelle : http://winfuture.de

[SiLæncer]

Microsofts Ankündigung, im September fünf Patch-Pakete zu veröffentlichen, hat sich bewahrheitet: fünfmal Schadcodeausführung übers Netz in Windows, fünfmal ist die Einstufung kritisch. Im Einzelnen betreffen die Updates die JScript-Engine, die unter anderem die Ausführung von JavaScript-Code im Internet Explorer übernimmt, den automatischen Konfigurationsdienst für WLAN-Netzwerke, mehrere Schwachstellen in den Bibliotheken für das Windows-Media-Format WMF, eine Verwundbarkeit im TCP/IP-Netzwerk-Stack, sowie das ActiveX-Control zum Editieren von DHTML-Inhalten.

Das Problem im WLAN-Konfigurationsdienst betrifft lediglich Vista und Server 2008 (außer in der Itanium-Version). Windows XP bleibt außerdem von der Schwachstelle im Netzwerk-Stack verschont, Vista und Server 2008 von der DHTML-Lücke. Jedes Update-Paket schließt mindestens eine Sicherheitslücke, für die die Redmonder eine baldige Verfügbarkeit von Exploits für wahrscheinlich halten.

Die Schwachstelle im FTP-Server von Microsoft IIS 5, 6 und 7 sowie die Denial-of-Service-Lücke im Netzwerkdienst von Vista und Windows 7 bleiben erwartungsgemäß ungepatcht. Inwiefern Windows 7, das bereits vielerorts produktiv eingesetzt wird, ebenfalls von den Schwachstellen betroffen ist, geht aus Microsofts aktuellen Veröffentlichungen nicht hervor. Anwender sollten die heute veröffentlichten Patches umgehend einspielen.

Folgende Sicherheits-Updates wurden heute veröffentlicht:

MS09-045 - Sicherheitsanfälligkeit in Skriptmodul JScript

Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit im Skriptmodul JScript, das Remotecodeausführung ermöglichen kann, wenn ein Benutzer eine speziell gestaltete Datei öffnet oder eine speziell gestaltete Website besucht und ein fehlerhaftes Skript aufruft. Wenn ein Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, vollständige Kontrolle über ein betroffenes System erlangen. Das von Microsoft als kritisch eingestufte Problem betrifft alle Windows-Versionen bis auf das neue Windows 7.

Security Bulletin: MS09-045
Knowledge Base: KB971961


MS09-046 - Sicherheitsanfälligkeit im ActiveX-Steuerelement der DHTML-Bearbeitungskomponente

Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit im ActiveX-Steuerelement der DHTML-Bearbeitungskomponente. Ein Angreifer kann die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Website erstellt. Wenn ein Benutzer die Website anzeigt, kann die Sicherheitsanfälligkeit die Codeausführung von Remotestandorten aus ermöglichen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der angemeldete Benutzer erlangen. Microsoft stuft dieses Problem als kritisch ein. Betroffen sind Windows 2000, XP und Server 2003.

Security Bulletin: MS09-046
Knowledge Base: KB956844


MS09-047 - Sicherheitsanfälligkeiten im Windows Media-Format

Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten in Windows Media Format. Jede dieser Sicherheitsanfälligkeiten kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Mediendatei öffnet. Wenn ein Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, vollständige Kontrolle über ein betroffenes System erlangen. Zusammenfassend werden die beiden Probleme von Microsoft als kritisch eingestuft. Betroffen sind alle Windows-Versionen bis auf Windows 7.

Security Bulletin: MS09-047
Knowledge Base: KB973812


MS09-048 - Sicherheitsanfälligkeiten in Windows TCP/IP

Dieses Sicherheitsupdate behebt mehrere vertraulich gemeldete Sicherheitsanfälligkeiten in der TCP/IP-Verarbeitung (Transmission Control-Protokoll/Internetprotokoll). Die Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn ein Angreifer speziell gestaltete TCP/IP-Pakete über das Netzwerk an einen Computer mit einem abfragenden Dienst sendet. Auch dieses Problem stuft Microsoft als kritisch ein. Es betrifft Windows 2000, Server 2003, Vista, und Server 2008.

Security Bulletin: MS09-048
Knowledge Base: KB967723


MS09-049 - Sicherheitsanfälligkeit im WLAN- Autokonfigurationsdienst

Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit im WLAN-Autokonfigurationsdienst. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Client oder Server, bei dem eine drahtlose Netzwerkschnittstelle aktiviert ist, speziell gestaltete drahtlose Frames empfängt. Systeme, bei denen keine drahtlose Netzwerkkarte aktiviert ist, sind nicht durch diese Sicherheitsanfälligkeit gefährdet. Das von Microsoft als kritisch eingestufte Problem betrifft lediglich Windows Vista und den Windows Server 2008.

Security Bulletin: MS09-049
Knowledge Base: KB970710

Quelle : www.heise.de / http://winfuture.de

[SiLæncer]

Am Patchday in diesem Monat ist Microsoft ein Fehler unterlaufen, den der Hersteller einen Tag später nun korrigiert hat. Denn der Sicherheitspatch für die TCP/IP-Funktionen betrifft entgegen den ersten Auskünften auch Windows XP.

Ursprünglich hatte Microsoft angegeben, dass die drei gefährlichen Sicherheitslücken in den TCP/IP-Funktionen des Betriebssystems nur Windows 2000, Vista sowie Windows Server 2003 und 2008 betreffen. Nun ergänzte der Hersteller, dass auch Windows XP von dem Fehler betroffen ist. Über das Security Bulletin stehen nun auch Patches für Windows XP bereit. Das deutschsprachige Security Bulletin weiß von der Korrektur noch nichts.

Nutzer von Windows XP sollten den Patch zügig einspielen, um die Fehler zu beseitigen. Wer die Updates vom Patchday bereits eingespielt hat, muss also nochmal ran, das System zu aktualisieren. Damit hat es in diesem Monat zumindest für Windows-XP-Anwender nicht geklappt, dass es mit einem Sicherheitsupdate im Monat getan ist, was das zentrale Anliegen des Patchdays ist.

Quelle : www.golem.de

[SiLæncer]

Wer mit USB-Geräten hantiert, hat vor allem unter Windows XP das Risiko, sich Schadsoftware einzufangen. Mit einem Update rüstet Microsoft nun alte Betriebssysteme nach und bringt sie in dieser Disziplin auf den Sicherheitsstand von Windows 7.

Mit einem Update bringt Microsoft eine sinnvolle Änderung des Autostartverhaltens alten Betriebssystemen bei, die die Verbreitung von USB-Würmern deutlich erschwert. Zukünftig verhalten sich etwa Windows XP und Windows Vista so, wie es Windows 7 beim Umgang mit USB-Geräten bereits tut: Alte Windows-Versionen ignorieren fortan Autorun-Einträge auf beschreibbaren Wechseldatenträgern wie USB-Sticks, SD-Karten oder externen Festplatten. Nur mit optischen Laufwerken oder Laufwerken, die ein optisches vorgeben, funktioniert der Autostart dann noch. Das ist etwa bei U3-USB-Sticks oder UMTS-Sticks der Fall.

Wer also bereits über den Gruppenrichtlinien-Editor, der allerdings nicht in allen Windows-Versionen vorhanden ist, alle USB-Geräte pauschal vom Ausführen der Autorun.inf ausgeschlossen hat, kann diese Funktion auf Wunsch nach der Installation des Updates wieder aktivieren.

Microsoft hatte Ende April 2009 versprochen, den Umgang mit USB-Geräten und der Autorun.inf auch bei alten Betriebssystemen deutlich zu verbessern und ist dem jetzt nachgekommen. Veröffentlicht hat Microsoft das Update bereits Ende August 2009, doch bemerkt haben Anwender von diesem wichtigen Update nichts. Es versteckt sich in der Knowledge-Base von Microsoft als KB971029 und ist über das Windows-Update derzeit nicht verfügbar. Gerade Endanwender werden dieses Update wohl kaum installieren und damit weiterhin die Verbreitung von USB-Würmern ermöglichen.

Wer das Update installieren möchte, findet die Downloadlinks für Windows XP, Windows Vista Windows Server 2003 und Windows Server 2008 unter dem KB971029. Gegebenenfalls muss noch die passende Sprache ausgewählt werden.

Quelle : www.golem.de

[SiLæncer]

Microsoft hat bei seinem letzten Patch Day im September hauptsächlich seine aktuellen Betriebssysteme Windows Server 2003 und 2008 sowie Vista bedacht. Die für diese Versionen gepatche Sicherheitslücke im TCP/IP-Stack bleibt in Windows 2000 und XP weiterhin vorhanden.
Beim Patch Day für September hat Microsoft in der letzten Woche mit dem Security Bulletin MS09-048 auch Sicherheits-Updates bereit gestellt, die mehrere Schwachstellen in der TCP/IP-Netzwerk-Software beheben. Betroffen sind alle Windows-Versionen von 2000 bis Vista. Jedoch hat Microsoft keine Updates für XP und Windows 2000 ausgeliefert. Die wird es laut Microsoft auch nicht geben, denn das sei technisch zu aufwendig.

Beim monatlichen Webcast zum Patch Day hat Microsoft erklärt, dass bei Windows XP standardmäßig keine Dienste so konfiguriert seien, dass sie an einem Port auf Anfragen von außen lauschten. Somit seien auch keine entsprechenden Ausnahmeregeln in der Windows-Firewall nötig und die Rechner nicht anfällig für Angriffe auf eine dieser Schwachstellen. Ein erfolgreicher DoS-Angriff erfordere eine Flut speziell präparierter TCP-Pakete. Der Rechner könne zwar dadurch beeinträchtigt werden, würde sich jedoch erholen, sobald die Paketflut nachlasse.

Die bereit gestellten Updates für Vista sowie Windows Server 2003 und 2008 beseitigen demnach die Schwachstellen auch nicht vollständig. Sie erhöhen jedoch die Widerstandsfähigkeit der Systeme gegen eventuelle Angriffe auf diese Lücken. In Windows 2000 seien die technischen Voraussetzungen für diese Verbesserung nicht gegeben, heißt es seitens Microsoft weiter. Sie zu implementieren, sei zu aufwendig und daher nicht praktikabel.

Ansonsten werde Windows 2000 (Server) jedoch weiterhin mit Sicherheits-Updates versorgt, soweit dies praktikabel sei. Die erweiterte Support-Phase für Windows 2000 SP4 endet im Juli 2010, die für XP im April 2014.

Quelle : www.tecchannel.de

[SiLæncer]

Microsoft hat für den kommenden Patchday, Dienstag, den 13. Oktober, 13 Bulletins angekündigt. Acht der Bulletins beschreiben kritische Lücken in Windows, Office, Silverlight, Forefront, dem SQL Server und Microsofts Developer Tools. Fünf der Lücken betreffen auch Windows 7, für das es nun die ersten Sicherheits-Update gibt, bevor es offiziell zum Verkauf steht. Über MSDN steht es aber schon seit einigen Wochen zum Download bereit und wird teilweise bereits produktiv eingesetzt.

Wieviel Lücken die Updates insgesamt schließen werden, ist noch nicht offiziell bekannt. Nach Angaben des Security Response Center will man aber die seit mehreren Wochen bekannte kritische Lücke in der SMBv2-Implementierung schließen. Dafür kursieren auch bereits mehrere Exploits, durch die ein Angreifer aus der Ferne ein System übernehmen kann. Auch das Ende August entdeckte Loch im FTP-Server unter IIS 5 und 6 wird nun gestopft.

Am Dienstag steht zusätzlich Adobes Patchday an, an dem der Hersteller Sicherheits-Updates für den Reader und Acrobat veröffentlichen will. Glücklicherweise fällt diesen Monat Oracles Patchday nicht ebenfalls auf den 2. Dienstag des Monats, sonst würden Admins in Unternehmen wohl nicht mehr aus dem Patchen und Booten herauskommen. Oracles CPU ist diesmal für den 20. Oktober geplant.

Quelle : www.heise.de

[SiLæncer]

An jedem zweiten Dienstag des Monats ist Patch-Day, an dem Sicherheitsupdates für verschiedene Microsoft-Produkte erscheinen. Nun wurde Version 3.0 des "Windows-Tools zum Entfernen bösartiger Software" freigegeben.

Dieses Tool überprüft den Computer auf Infektionen mit bestimmter, weit verbreiteter bösartiger Software (Würmer und Trojaner) und unterstützt Sie gegebenenfalls beim Entfernen dieser Schädlinge. Microsoft weist jedoch ausdrücklich darauf hin, dass das Programm keine AntiViren-Software ersetzen soll.

Eine Liste aller mit dieser Software erkennbaren Schädlinge kann unter dem Punkt Freigabeinformationen auf den Hilfe und Support Seiten von Microsoft nachgelesen werden. Das Tool lässt sich auch mit einem Aufruf der Datei mrt.exe in Windows\System32 starten.

Microsoft bietet das Windows-Tool zum Entfernen bösartiger Software auch in einer Version für 64-Bit-Systeme an.

Homepage: http://www.microsoft.com/security/malwareremove/

Download: Windows-kb890830-v3.0.exe (8,7 Mb)

Quelle : http://winfuture.de