Patch-Day: Microsoft und die sieben Sicherheitslücken

Dieses Thema im Forum "Netzwelt" wurde erstellt von CeNedra, 15. Februar 2006 .

Schlagworte:
  1. 15. Februar 2006
    Sicherheits-Patches für Windows, Internet Explorer und Windows Media Player

    Am monatlichen Patch-Day für den Februar 2006 knöpft sich Microsoft Sicherheitslücken in Windows, im Internet Explorer, im Windows Media Player einschließlich des dazugehörigen Plug-Ins sowie in PowerPoint vor. Insgesamt schließt Microsoft sieben Sicherheitslücken in seinen Softwareprodukten. Außerdem bietet Microsoft wieder ein CD-Image mit den aktuellen Windows-Patches und Winboard.org hat bereits die inoffiziellen Update-Pakete fertig gestellt.

    Als kritisch stuft Microsoft eine Sicherheitslücke im Windows Media Player ein, die bei der Anzeige von bmp-Dateien auftritt. Über einen ungeprüften Puffer lässt sich mit entsprechenden Bilddateien beliebiger Programmcode einschleusen, um eine umfassende Kontrolle über einen fremden PC zu erlangen. Das Sicherheitsloch steckt im Windows Media Player den Versionen 7.1, 9.x sowie 10.x, frühere Versionen scheinen nicht betroffen.

    Wird der Windows Media Player 10 unter Windows Server 2003 mit Service Pack 1 eingesetzt, tritt das Problem nicht auf. Gleiches gilt für den Windows Media Player auf Systemen mit Windows XP Professional in der x64 Edition. Microsoft bietet einen Patch zum Download an, um das Sicherheitsloch im Windows Media Player zu schließen. Microsoft wurde bereits im Oktober 2005 auf den Fehler hingewiesen, brauchte aber rund vier Monate zur Beseitigung des Sicherheitslecks.

    Aber nicht nur der Windows Media Player, sondern auch das dazugehörige Browser-Plug-In macht Probleme. So sorgt ein Sicherheitsleck im Windows-Media-Player-Plug-In dafür, dass Angreifer beliebigen Programmcode starten können, wenn entsprechend manipulierte EMBED-Elemente an das Browser-Plug-In übergeben werden. Da das Plug-In nur für Browser geeignet ist, die nicht von Microsoft stammen, haben Anwender des Internet Explorer in diesem Fall nichts zu befürchten, weil eben nur Webbrowser wie Mozilla, Firefox, Netscape oder Opera davon betroffen sind. Mit einem Sicherheits-Patch für das Windows-Media-Player-Plug-In soll das Problem behoben werden, nachdem Microsoft der Fehler bereits seit fast einem halben Jahr bekannt ist.

    In früheren Versionen des Internet Explorer wurde vor einigen Tagen ein von Microsoft als kritisch bewertetes Sicherheitsloch bei der Verarbeitung von WMF-Dateien bekannt. Das Sicherheitsloch bringt bei der Anzeige speziell formatierter WMF-Dateien den Programmspeicher durcheinander, so dass Angreifer darüber beliebigen Programmcode ausführen können.

    Zur Beseitigung dieser Lücke steht nun ein Patch für den Internet Explorer 5.01 mit Service Pack 4 auf Systemen mit Windows 2000 bereit. Das Sicherheitsloch steckt auch im Internet Explorer 5.5 mit Service Pack 2 unter Windows Millennium, allerdings ist der Support-Zeitraum für diese Software bereits abgelaufen, weshalb Microsoft hier den Wechsel zum Internet Explorer 6.x empfiehlt.

    Im Web-Client-Dienst von Windows XP und Windows Server 2003 erlaubt ein Sicherheitsleck einem Angreifer gleichfalls die Ausführung beliebigen Programmcodes. Allerdings muss der Angreifer sich dazu am betroffenen System anmelden, so dass keine Attacken aus der Ferne möglich sind. Ein bereitgestellter Patch soll den ungeprüften Puffer im Web-Client-Dienst schließen, so dass derartige Angriffe nicht mehr möglich sind.

    Eine weitere Sicherheitslücke steckt im TCP/IP-Protokoll von Windows XP und Windows Server 2003, worüber Angreifer über speziell gestaltete IGMP-Pakete eine Denial-of-Service-Attacke vornehmen können. Ein angegriffenes System würde dann nicht mehr reagieren. Ein passender Patch steht zum Download bereit.

    Sowohl in Windows als auch in den Office-Paketen von Microsoft wurde ein Sicherheitsleck im koreanischen Eingabemethoden-Editor (IME) entdeckt, worüber sich Angreifer mehr Reche verschaffen können, als ihnen eigentlich zustehen. Zur Ausnutzung der Sicherheitslücke ist eine Anmeldung am System erforderlich. Ein Patch für die Windows-Plattform sowie verschiedene Office-Pakete soll den Fehler korrigieren.

    Schließlich knöpft sich Microsoft im Februar 2006 eine Sicherheitslücke in PowerPoint 2000 vor, worüber sich vertrauliche Daten einsehen lassen, die im Verzeichnis "temporäre Internetdateien" abgelegt sind. Der Fehler tritt auf, wenn PowerPoint HTML-Inhalte mit der Rendering-Engine des Internet Explorer darstellt. Microsoft bietet nun einen Patch für PowerPoint 2000 zum Download.

    Nachdem im Januar 2006 erstmals ein ISO-CD-Image mit allen Windows-Sicherheits-Patches aus dem betreffenden Monat in verschiedenen Sprachversionen erschienen ist, steht eine entsprechende CD nun auch mit den Windows-Patches vom Februar 2006 bereit. Bislang war nur bekannt, dass eine solche Patch-Sammel-CD zum Patch-Day veröffentlicht wird, allerdings war die Ausgestaltung noch unbekannt. Nun zeigt sich, dass die angebotene Image-Datei immer nur die Patches des aktuellen Monats umfassen. Das "February 2006 Security and Critical Releases ISO Image" steht ab sofort zum Download bereit, damit etwa Administratoren leichter Patches auf nicht miteinander vernetzten Systemen einspielen können.

    Alternativ dazu bietet Winboard.org bereits inoffizielle Patch-Pakete sowie die Patch-Sammlungen als CD- oder DVD-Image. So stehen Patch-Pakete für Windows 2000 mit Service Pack 4, für Windows XP mit Service Pack 1 oder 2 sowie für Windows XP x64 und Windows Server 2003 Service Pack 1 zum Download bereit. Für Windows XP mit Service Pack 2 gibt es die Pakete sowohl in deutscher als auch in englischer Sprache. Alle Patch-Pakete werden als Vollversion sowie als Update-Datei angeboten. Auch die von Winboard.org bekannten CD- und DVD-Images sind bereits fertig und stehen ab sofort zum Download bereit.
    Quelle
     
    + Multi-Zitat Zitieren
  3. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten