BlogIT

Der Blog von hello-it

Microsoft schließt viele Lücken

| Keine Kommentare

Zum letzten Patchday am vergangenen Dienstag hat Microsoft sage und schreibe sieben Patch-Pakete, die insgesamt 12 Sicherheitslücken schließen, veröffentlicht.

Zwei der Patch-Pakete stuft das Unternehmen als „kritisch“ ein. Das erste schließt eine Lücke in der Druckerwarteschlage von Windows 7 und Server 2008 R2. Gelingt es einem Angreifer, einen speziell präparierten Druckauftrag abzusetzen, kann er beliebigen Code auf dem Rechner ausführen. Das kann auch übers Netz und ohne Anmeldung erfolgen.

Das zweite Patch-Paket widmet sich erneut den XML Core Services und betrifft neben sämtlichen Windows-Versionen auch Office 2003 und 2007, den Word Viewer, das Office Compatibility, Expression Web und Expression Web 2, den SharePoint Server 2007 sowie den Groove Server 2007. Es behebt zwei kritische Fehler bei der Verarbeitung von XML-Daten, die sich ebenfalls zum Einschleusen von Code eignen. Um die Lücke ausznutzen, muss der Angreifer sein Opfer lediglich auf eine präparierte Webseite locken.

Die übrigens fünf Pakete hält Microsoft noch für wichtig. Drei davon schließen Lücken, durch die ein Angreifer an höhere Rechte gelangen kann, als ihm eigentlich zustehen. Das kann beim System Center Operations Manager 2007 durch Cross-Site-Sripting im Webinterface, beim .NET Framework etwa durch Pufferüberläufe und bei Windows ab Vista durch eine Fehler im Kernel, der bei der Verarbeitung von Windows-Broadcastnachrichten auftritt. Außerdem hat Microsoft in Vista und aufwärts einen Fehler im SSLv3-Protokoll beseitigt, der eine „Umgehung der Sicherheitsfunktion“ erlaubt. Da diese Lücke – wie alle anderen auch – vertraulich an Microsoft gemeldet wurde, sind hierzu bislang keine Details bekannt. Last but not least hat das Unternehmen eine Denial-of-Service-Schwachstelle im .NET Framework behoben.

Für die seit Ende vergangenen Jahres bekannte kritische Internet-Explorer-Lücke (Version 6 bis 8) gibt es weiterhin nur das provisorische Fix-It-Tool, das ein Sicherheitsforscher allerdings nach eigenen Angaben bereits umgangen hat. Wann diese Lücke richtig geschlossen wird, darüber kann man derzeit nur spekulieren.

 

Quelle: heise.de

Marcus Schedel

Autor: Marcus Schedel

Gründer von hello-it, IT-Supporter, Webmaster, Vater, Schreibling, technischer Schraubendreher, Möglichmacher, durch Erfahrungen in unterschiedlichen Unternehmen versierter Allrounder, Freewareempfehler und -selbstnutzer

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.


*

code

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich stimme zu.

WP to LinkedIn Auto Publish Powered By : XYZScripts.com