Thema: Microsoft patcht drei Pufferüberläufe

[SiLæncer]

Das bereits bekannte Java-Problem des Internet Explorer, ein Fehler im Windows Color Management und einer bei der Font-Behandlung in Word stehen im Juli auf der Patch-Liste. Alle drei sind als kritisch eingestuft, lassen sich übers Netz ausnutzen und erlauben es einem Angreifer, die Rechte des angemeldeten Anwenders zu erlangen -- also standardmäßig die des Administratorkontos.

Den Fehler in Microsofts Java-Implementierung hat die österreichische Firma SEC Consult bereits Ende Juni veröffentlicht -- nachdem Microsofts Product Team ihn zunächst nicht nachvollziehen konnte. Wenige Tage darauf präsentierte das französische Security-Portal FrSIRT einen Demo-Exploit, der eine Hintertür auf dem System eines IE-Anwenders installierte, wenn dieser eine präparierte Web-Seite öffnete. Kurz darauf stellte Microsoft einen Patch bereit, der das Kill Bit auf die betroffene COM-Komponente javaprxy.dll setzte und so ihre Ausführung aus dem IE heraus verhinderte, der aber nicht über den Windows-Update-Mechanismus vertrieben wurde. Das holt Microsoft jetzt mit dem Security Bulletin MS05-037 nach. Der Fehler wird bereits aktiv ausgenutzt, Anwender sollten den Patch also schleunigst einspielen. Wer allerdings Microsofts Java-Implementierung verwendet, muss dabei auf eventuelle Probleme gefasst sein.

Der in MS05-036 beschriebene Fehler betrifft das Modul Microsoft Color Management. Es soll konsistente Farbtabellen für verschiedene Ausgabegeräte und Transformtionen zwischen Farbräumen -- beispielsweise RGB und CMYK -- ermöglichen. Bei der Behandlung von Tags des ICC-Profile-Formats kann ein Pufferüberlauf auftreten, der sich beispielsweise durch ein speziell präpariertes Bild hervorrufen und ausnutzen lässt.

MS05-035 befasst sich schließlich mit einem Fehler in der Font-Behandlung von Word, der sich durch manipulierte DOC-Dateien ausnutzen lässt. Betroffen ist Word aus Office 2000 und XP (2002) sowie die Word-Versionen aus Microsoft Works 2000 bis 2004. Word 2003 hingegen ist laut Microsoft immun.

Die Updates werden über den automatischen Windows-Update-Mechanimus und die Microsoft-Update-Seite verteilt. Betroffene Works-Nutzer verweist Microsoft allerdings auf die Office-Update-Seite, um die Patches einzuspielen.

Quelle und Links : http://www.heise.de/newsticker/meldung/61630

[SiLæncer]

Kostenlose Patch-Sammlungen und Setup-Routinen für Windows 2000 und XP

Für Windows 2000 und XP stehen aktualisierte inoffizielle Update-Pakete sowie Setup-Routinen bereit, welche die vor rund einer Woche erschienenen Sicherheits-Patches von Microsoft enthalten respektive abdecken. Während Winboard.org und WinFuture.de wie gewohnt Update-Pakete bereit stellen, findet man auf Winhelpline.de entsprechende Setup-Routinen, die eine Patch-Einspielung automatisieren.
    
Winboard.org bietet inoffizielle Update-Pakete für Windows 2000 mit Service Pack 4 und Windows XP mit Service Pack 2 kostenlos zum Download an. Für Letzteres steht zudem eine englischsprachige Ausführung bereit, während jeweils alle Varianten als Vollversion sowie als Upgrade angeboten werden. Die Update-Pakete umfassen die vor rund einer Woche von Microsoft veröffentlichten Windows-Patches. Update-Pakete für Windows XP mit Service Pack 1 stehen noch nicht bereit, sollen aber in Kürze folgen.

Das aktuelle Update-Paket für Windows XP Service Pack 2 trägt die Versionsnummer 2.7 und steht als Vollversion sowie als Upgrade von der Version 2.6 des Update-Pakets kostenlos in deutscher sowie englischer Sprache zum Download zur Verfügung. Ferner wird das Update-Paket für Windows 2000 mit Service Pack 4 in der Versionsnummer 1.15 angeboten, das derzeit aber nur als Vollversion zu haben ist.

Die Webseite Winfuture.de hat das Update-Paket für das deutschsprachige Windows XP mit Service Pack 2 ebenfalls soeben aktualisiert und bietet dies gleichfalls kostenlos zum Download an. Das Update-Paket gibt es als Upgrade von der Version 2.2 sowie als Vollversion 2.3 zum Download.

Darüber hinaus bietet die Webseite Winhelpline.de bereits seit einigen Tagen Setup-Routinen für Windows 2000 und XP an, womit sich einzeln geladene Patches in einem Rutsch installieren lassen. Entsprechende Archive für Windows 2000 mit Service Pack 4 und Windows XP mit Service Pack 2 stehen kostenlos bereit. Aktualisierte Setup-Routinen für Windows XP Service Pack 1 werden nicht mehr angeboten.

Quelle und Links : http://www.golem.de/0507/39375.html