Was zunächst wie ein vergleichsweise ruhiger Patchday aussah, entpuppt sich eher als Groß-Patch-Tag vor allem für Excel-Anwender. Die angekündigten sechs Patch-Pakete beheben insgesamt 15 "Sicherheitsanfälligkeiten" in Microsoft Office und Windows. Viele davon sind als kritisch eingestuft.
Allein die Sicherheitsnotiz MS09-067 beschreibt 8 Sicherheitsprobleme in Excel. Bei immerhin drei der Lücken halten die Sicherheitsexperten aus Redmond das Auftauchen von stabilen Exploits für wahrscheinlich. Betroffen sind die Office-Versionen XP, 2003, 2007 und auch Office für Mac. Auch der Einsatz des Excel-Viewers schützt nicht, da dieser ebenfalls anfällig ist. Das gilt im Übrigen auch für die Sicherheitslücke in Word (MS09-068), bei der ebenfalls der Viewer betroffen ist.
Von den drei Sicherheitslücken der Windows-Kernelmodustreiber, die MS09-065 beschreibt, ist vor allem ein Fehler beim Verarbeiten von Embedded OpenType Schriften (EOT) hervorhebenswert. Auf Windows XP und Server 2003 kann ein Angreifer durch Dokumente oder Web-Seiten, die diese Schriftarten einsetzen, eigenen Code einschleusen und ausführen. Über die beiden anderen Schwachstellen könnte er sich lediglich höhere Rechte verschaffen.
Ausschließlich Vista und das verwandte Server 2008 betrifft ein Fehler im Protokoll für die Zusammenarbeit mit Geräten wie Druckern, Kameras und PDAs (MS09-063). Dazu lauscht auf den TCP-Ports 5357 und 5358 der Dienst Web Services on Devices API (WSDAPI), der offenbar die Header von WSD-Nachrichten nicht richtig verarbeitet. Der Dienst ist in allen Einstellungen der Windows Firewall außer denen für öffentliche Netze frei geschaltet. und somit von außen erreichbar. Außerdem können auch Antworten auf ausgehende Anfragen die Lücke ausnutzen.
MS09-066 berichtet von einem erneuten Fehler des LSASS-Dienstes, über den ein Angreifer Windows XP und Server 2000/2003/2008 lahmlegen könnte. Das Update zu MS09-064 beseitigt ein kritisches Sicherheitsproblem des Lizenzprotokollierservers von Windows 2000 Server.
Auffällig ist, dass anscheinend dieses Mal alle extern gefundenen Sicherheitslücken zunächst bei Microsoft gemeldet wurden. Außerdem ist Microsofts neueste Windows-Version von keiner der Lücken betroffen, was sich natürlich auf verschiedenste Art interpretieren lässt. Auf jeden Fall sollten die Anwender die Updates baldmöglichst einspielen – am besten über Microsofts automatischen Update-Service, der ja bereits seit einiger Zeit auch die Office-Kunden bedient.
Quelle
Da ist sie ja - die wichtige Meldung...
AntwortenLöschenanwender said Auf jeden Fall sollten die Anwender die Updates baldmöglichst einspielen
...betrifft aber offensichtlich nur Anwender...
Uffffz - noch mal Glück gehabt...
Lieve groetjes vom
Et es wie et es, et kütt wie et kütt un et hätt noch immer jot jejange...
danke für die frühe ankündigung *g*
AntwortenLöschenich bekam meinen testticker eben erst:
Datensicherheit 11.11.2009 | 07:36 Mit sechs Updates kümmert sich Microsoft um 15 Sicherheitslücken in seinen Programmen. Als besonders löchrig erweist sich Excel, auf das allein acht der Schwachstellen entfallen Den Patchday im November bestreitet Microsoft wie angekündigt mit sechs Updates, von denen drei kritische Sicherheitslücken in Windows abdichten. Ausschließlich unter Vista und Windows Server 2008 verarbeitet die Webservice on Devices API (WSDAPI), die für den Zugriff auf externe Geräte wie Drucker und Digicams zuständig ist, bestimmte Nachrichten-Header nicht richtig und lässt sich so Code unterschieben. Wer das Update nicht einspielen kann oder will, kann zumindest die TCP-Ports 5357 und 5358 sowie den UDP-Port 3702 blockieren, um Angriffe zu verhindern. Allerdings funktioniert dann die Geräteerkennung nicht mehr. In allen Windows-Versionen außer Windows 7 und Windows Server 2008 R2 finden sich drei Fehler im Kernel. Allerdings taugen diese nur unter Windows 2000, XP und Windows Server 2003 zum Einschleusen von Code. Unter Vista und Windows Server 2008 kann sie ein Angreifer lediglich nutzen, um sich zusätzliche Rechte zu erschleichen. Beim dritten Windows-Leck schließlich handelt es sich um ein Problem im Lizenzprotokollierserver, das allerdings nur Windows 2000 betrifft. Ein viertes Leck in Windows steckt im LSASS-Dienst und trägt die Sicherheitseinstufung hoch, da Angreifer keinen Code einschleusen, sondern nur das System per DoS-Angriff lahm legen können. Die Lecks in Word und Excel tragen zwar ebenfalls nur die Sicherheitseinstufung hoch, doch auch sie lassen sich ausnutzen, um Code einzuschleusen. Nicht nur die beiden Office-Programme selbst sind betroffen, sondern auch Word Viewer und Excel Viewer, so dass der Einsatz der Viewer bei Dateien aus unbekannten Quellen keinen ausreichenden Schutz bietet. Während in Word nur ein Leck zu finden ist, sind es in Excel gleich acht. Es handelt sich hauptsächlich um Speicherfehler, aber auch Probleme bei der Analyse von Arbe
Ich kriege diesen Kram...
AntwortenLöschen...immer per eMail vom MS- Info- Dienst...
Interessiert mich aber nicht wirklich...
Lieve groetjes vom
Et es wie et es, et kütt wie et kütt un et hätt noch immer jot jejange...
na und?
AntwortenLöschen
AntwortenLöschensusanne said na und?
Warum nicht... ??
Lieve groetjes vom
Et es wie et es, et kütt wie et kütt un et hätt noch immer jot jejange...
Sag mal, liebe Susanne...
AntwortenLöschen...du verteilst diese "wichtigen Patch-Nachrichten" ja auch noch über alle möglichen Groups...
Machst du das eigentlich per Hand oder hast du dafür schon ein Tool oder ein Feuerfuchs-Add-On welches automatisch per Verteiler solche Kopien weiter in die Groups kopiert...?
Lieve fragende groetjes vom
Et es wie et es, et kütt wie et kütt un et hätt noch immer jot jejange...