Thema: Microsoft Patchday ...

[SiLæncer]

Microsoft löste sein Versprechen ein, und kündigte die Sicherheits-Updates an, die am kommenden Dienstag, dem November-Patchday, veröffentlicht werden. Das soll EDV-Abteilungen bei der Arbeitsplanung unterstützen.

Doch die Ankündigung bietet wenig Anlass zur Freude. Zwar soll es ein Update für die Software-Firewall ISA (Internet Security and Acceleration) geben, doch für die zwei seit Erscheinen des kumulativen Patchs für den Internet Explorer bekannt gewordenen Sicherheitslücken in Microsofts Browser ist keine Lösung geplant. Folgende Probleme werden die Anwender also weiter plagen:

Drag&Drop-Schwachstelle : http://www.heise.de/security/news/meldung/52377

iFrame-Problem : http://www.heise.de/security/news/meldung/52868

Quelle : www.heise.de

[SiLæncer]

Bereits zwei Mal musste Microsoft das Security Bulletin zum Patch-Day vom November 2004 überarbeiten und den betreffenden Patch innerhalb einer Woche abermals korrigieren. Nutzer vom ISA-Server 2000 mit Service Pack 1 müssen daher nochmals ran und den aktualisierten Patch installieren, weil die ersten Versionen nicht alle notwendigen Programmdateien enthielten und die Einsatzfähigkeit der Software beeinträchtigen konnten, wie Microsoft erst eine Woche nach dem Patch-Day bemerkte.

Durch den Fehler von Microsoft konnte die Aktualisierung vom ISA-Server 2000 mit Service Pack 1 dazu führen, dass die Software nicht mehr korrekt arbeitet. Daher werden alle Nutzer vom ISA-Server mit Service Pack 1 abermals aufgefordert, den aktualisierten Patch zu installieren, um den Fehler von Microsoft auszubügeln. Nicht betroffen sind auch dieses Mal Nutzer vom ISA-Server 2000 mit Service Pack 2, da dieser Patch vollständig gewesen sein soll.

Bereits wenige Tage nach dem Patch-Day vom November 2004 wurde der deutschsprachige Patch für den ISA-Server 2000 mit Service Pack 1 schon mal aktualisiert, weil dieser sich nicht installieren ließ. Nutzer vom deutschsprachigen ISA-Server 2000 mit Service Pack 1 müssen also schon das zweite Mal aktualisierte Patches laden und installieren, um dem Spoofing-Sicherheitsloch ein Ende zu bereiten.

Das Sicherheitsloch im Internet Security and Acceleration Server (ISA-Server) 2000 und in Microsofts Proxy Server 2.0 kann für Spoofing-Angriffe missbraucht werden. Ein Fehler beim Zwischenspeichern von Ergebnissen des Reverse-Lookups führt dazu, dass ein Angreifer ein Opfer auf eine manipulierte Webseite schleusen kann, während das Opfer annimmt, auf vertrauenswürdige Inhalte zuzugreifen. Darüber lassen sich im schlimmsten Fall Zugangsdaten, Kennwörter oder andere vertrauliche Daten abfangen.

Im DNS stellt ein Reverse-Lookup einen Abfragevorgang dar, mit dem die IP-Adresse eines Hostcomputers nach seinem angezeigten DNS-Domänennamen durchsucht wird. Zur Ausnutzung dieser Sicherheitslücke muss ein Angreifer seine Opfer lediglich auf eine Webseite leiten, die einen Reverse-Lookup ausführen. Dabei legt der Proxy- und ISA-Server einen Cache an, worüber das geschilderte Angriffsszenario möglich wird. Deaktiviert man den DNS-Cache, indem dieser auf null gesetzt wird, kann das Sicherheitsrisiko umgangen werden. Ein Spoofing von SSL-Zertifikaten erlaubt das gefundene Sicherheitsloch nicht.

Der überarbeitete Patch für den ISA-Server 2000 mit Service Pack 1 steht nun zum Download bereit. Die Patches für den ISA-Server 2000 mit Service Pack 2 sowie den Proxy Server 2.0 müssen nicht nochmals installiert werden, weil diese nicht fehlerhaft waren. Der ISA-Server 2004 ist von dem Sicherheitsloch nicht betroffen.

http://www.microsoft.com/germany/technet/servicedesk/bulletin/ms04-039.mspx

Quelle : www.golem.de

[SiLæncer]

Der nächste Patch-Day bringt einiges an Arbeit: Insgesamt 13 Patches kündigt Microsoft für den 8. Februar an, mehrere davon kritisch. Allein 9 der Patches betreffen Windows selbst. Dazu gehört nach Microsofts Nomenklatur auch der Internet Explorer, der nach den Januar-Patches immer noch mindestens eine offene Lücke hat, über die Angreifer mit einer Web-Seite Programme installieren und ausführen könnten.

In Microsoft Office und Visual Studio wollen die Redmonder ebenfalls ein kritisches Problem beheben, ein weiteres kritisches Update betrifft Windows, Windows Media Player und den MSN Messenger. Die übrigen Patches für SharePoint Services und Office und im .NET-Framework stuft die Zusammenfassung nur als mittel beziehungsweise wichtig ein.

Weitere Informationen zu den kommenden Patches gab Microsoft noch nicht bekannt. Typischerweise ist damit zu rechnen, dass nur wenige Tage nach Veröffentlichung der Patches auch funktionierende Exploits für die damit verarzteten Schwächen im Internet kursieren. Deshalb sollten Administratoren und auch Endanwender die Patches baldmöglichst nach Erscheinen installieren.

Quelle : www.heise.de

[Jürgen]

Zum monatlichen Patch-Day stellt Microsoft insgesamt 13 Patches bereit, mehrere davon sind als kritisch eingestuft. Die Lücken betreffen vom Internet Explorer über Messenger, Media Player und Microsoft Office bis hin zum Netzwerkprotokoll SMB und die Objektkommunikation via OLE/COM nahezu die gesamte Bandbreite von Windows und dessen Schnittstellen und Applikationen. Auf einem normalen Windows XP System mit Service Pack 2 und allen bisherigen Patches installierte Windows-Update ganze neun Updates.
./.
Die Updates stehen über den Windows-Update-Service bereit. Anwender sollten sie baldmöglichst einspielen, da damit zu rechnen ist, dass bald Exploits für die Schwachstellen in Umlauf kommen und aktiv genutzt werden. Bei der Installation wird auch eine neue Version des Tools zum Entfernen bösartiger Software angeboten.

Für einige der kritischen Sicherheitslücken will Microsoft im Rahmen des erweiterten Supports auch Patches für ältere Windows-Versionen wie Windows ME und 98(SE) bereitstellen, die eigentlich nicht mehr unterstützt werden.

Siehe dazu auch:

    * Windows-Sicherheitsupdates für Februar 2005 von Microsoft
    * Office-Sicherheitsupdate für Februar 2005 von Microsoft
    * deutsches Microsoft-Sicherheitsportal

(ju/c't) Der ganze Artikel mit Links
Quelle: www.heise.de

Für mich war auch etwas dabei, ärgerlich nur, dass Windowsupdate den IE voraussetzt, noch dazu mit Active Shit und Scripting Schmonzes. Allerdings haben sich die Browser-Einstellungen diesmal nicht geändert.
M$ kann sich anscheinend auch nicht vorstellen, dass jemand kein Outlook (Express) hat, die Updates dafür wurden mir dringend nahegelegt LOL

Die meisten erwänhnten Lücken habe ich aber hier ohnehin nicht (aktiv). Dennoch ist die regelmässige Überprüfung Pflicht, auch wenn man manches nicht nutzt. Jedenfalls immer, wenn irgendwo (noch) M$ im Spiel ist...

Jürgen

[Jürgen]

Zum heutigen Patchday hat Microsoft nur das Security Bulletin MS05-024 und das dazugehörige Update veröffentlicht, das eine Mitte April entdeckte Lücke im Windows Explorer schließt. Ist Microsofts Dateimanager für die Darstellung in Web-Mode konfiguriert, so führt er in den Metadaten von Dateien enthaltene JavaScripte in der lokalen Zone aus. Ein Angreifer kann mittels präparierter Dateien die Kontrolle über das System erlangen, sofern der Anwender mit Administratorrechten arbeitet und die Datei in der Voransicht betrachtet.

Betroffen sind nur Windows 98, Windows 98 SE und Windows ME sowie Windows 2000 mit Service Pack 3 und 4. Allerdings stellt Microsoft das Update nur für Windows 2000 zur Verfügung. Für die anderen Versionen wird kein Patch veröffentlicht, da der Support dafür eigentlich eingestellt wurde. Zwar geben die Redmonder im Rahmen des Erweiterten Supports noch Updates bei kritischen Lücken heraus, im vorliegenden Fall stuft man das Problem aber nur als "Hoch" ein.

Siehe dazu auch:

    * Bulletin MS05-024 Fehlerreport von Microsoft
    * Voransicht des Windows Explorer führt eingeschleusten Code aus Meldung auf heise Security

(dab/c't) Quelle und Links:
http://www.heise.de/newsticker/meldung/59449

Meine Ideen dazu:
- für's Web NATÜRLICH einen anderen Browser einsetzen, dann kann man getrost
- beim IE auch in der lokalen Zone den ganzen aktiven und Scripting-Schiet abschalten. Der Windows-Explorer selbst ist nämlich, was Darstellung von Inhalten angeht, ein Teil des IE, hat keine eigene Engine.
- Vorschau / Web- / Miniatur-Ansichten aus, Active Desktop aus usw., Änderungen verbieten.
- sowieso den Windows Scripting Host de-installieren, es sei denn, der wird für MSOffice zwingend gebraucht, für entsprechende Aktionen
- Java braucht der IE auch nicht mehr, also selbst das von Sun nicht als Plugin für den IE, sondern nur für den Alternativbrowser einrichten, jenen auch stets beim Start die Zuweisung als Standard-Browser prüfen lassen, den IE natürlich nicht
- es kann sinnvoll sein, die Windows Update-Seiten in die Sichere Zone einzutragen und NUR DORT genau die dafür notwendigen Erlaubnisse einzuräumen, um evtl. erhältliche kritische Updates holen zu können
- und NATÜRLICH keine nicht wirklich erwarteten Anhänge von Mails öffnen oder lokal speichern !!!

Ausserdem gibt es durchaus auch brauchbare alternative Datei-Browser.

Das geschilderte hohe Risiko besteht NUR im Zusammenhang mit unvorsichtigen User-Aktionen, das soll wohl die Einstufung rechtfertigen...

Ich glaube aber eher, dass MS das seinerzeit teuer verkaufte Win9x mittlerweile mit immer dreisteren Argumenten quasi gewaltsam entwerten will, das sollte auch allen Besitzern von  2000, XP und allen folgenden Versionen eine deutliche Warnung sein.

Was würdet Ihr von einem Autohersteller halten, der mit solchen Mitteln versucht, seine Kunden alle paar Jahre trickreich zum Kauf einer neuen Kiste nebst allem (Sonder-)Zubehör zu nötigen, durch die Verweigerung jeden Supports bei "nur" hohen Sicherheitsrisiken und unter nachvollziehbar gezielter Verhinderung von Kompatibilität
Würde man bei dem je wieder kaufen?

Da sag' ich mir doch, ich werd' erst recht bockig.

Win9x lässt sich durchaus noch sinnvoll verwenden, vor Allem auf schlappen Maschinen.
Allerdings nur, wenn man sich aller Risiken bewusst ist.
Inzwischen kann man wohl behaupten, das das nur (noch?) in die Hände Erfahrener gehört, hinter einer Hardware-Firewall, mit konsequenter Datensicherung und allen anderen denkbaren Schutzmassnahmen...
In einem Lehrinstitut, das ich vor einiger Zeit besucht habe, läuft das Zeug auch heute immer noch auf zahlreichen Plätzen, aber (mindestens) täglich werden die Kisten automatisch richtig plattgemacht und vom Server neu aufgespielt.

Jürgen

[Warpi]

Win9x lässt sich durchaus noch sinnvoll verwenden, vor Allem auf schlappen Maschinen. Allerdings nur, wenn man sich aller Risiken bewusst ist.
Inzwischen kann man wohl behaupten, das das nur (noch?) in die Hände Erfahrener gehört, hinter einer Hardware-Firewall, mit konsequenter Datensicherung und allen anderen denkbaren Schutzmassnahmen...
In einem Lehrinstitut, das ich vor einiger Zeit besucht habe, läuft das Zeug auch heute immer noch auf zahlreichen Plätzen, aber (mindestens) täglich werden die Kisten automatisch richtig plattgemacht und vom Server neu aufgespielt.
Jürgen

Beim letzten Wordkursus von der BFA war es fast genau so.
Hier lief eine Art "Hardware Sheriff" zum Schutz vom Win98.
Der kostet bestimmt eine Menge Geld. Eine Alternative wäre wie immer Linux gewesen.
Die Unix-Benutzerverwaltung ist schon Klasse.
Es gibt Distros die auch auf "alten" Maschinen zügig laufen.
Zum Beispiel benutze ich für meine täglichen Internetgeschichten einen Pentium 3 mit 500 MHz unter Kanotix. Vom Energiebedarf mal ganz abgesehen. So wird die "Athlon-Kochplatte"   nur noch eingesetzt wenn Bedarf vorhanden ist.

[SiLæncer]

Microsoft will zum September-Patchday nächsten Dienstag zwei Updates veröffentlichen. Ein Sicherheits-Sammelupdate betrifft das Windows-Betriebssystem, das andere Update wird nicht als Sicherheitsupdate eingestuft. Weiterhin wird das Unternehmen aus Redmond das aktualisierte Microsoft Windows Malicious Software Removal Tool zur Entfernung von Spyware und Trojanern ausliefern.

Wie üblich geht der Software-Gigant in der Vorankündigung nicht darauf ein, welche Lücken mit den Updates geschlossen werden. Allerdings stufen die Redmonder mindestens eines der gestopften Windows-Lecks als kritisch ein, das nicht sicherheitsrelevante Update erhält immerhin hohe Priorität.

Siehe dazu auch:

    * Vorankündigung zum September-Patchday von Microsoft

Quelle und Links : http://www.heise.de/security/news/meldung/63759

[SiLæncer]

Microsoft hat seinen Plan zurückgezogen, am kommenden Patchday einen Patch für mindestens eine kritische Sicherheitslücke herauszugeben. Noch am Freitag kündigten die Redmonder an, im Rahmen des monatlichen Zyklus für den September ein Update veröffentlichen zu wollen. Details zur Schwachstelle wurden zwar nicht bekannt, das Sammel-Sicherheits-Update war aber wohl für das Windows-Betriebssystem gedacht.

Aufgrund von Problemen bei der Qualitätssicherung fällt das Update nun aus und die Lücken bleibt erst einmal offen. Die Mängel offenbarten sich laut Microsoft erst am Ende des Testprozesses -- Nachbesserungen und weitere Test verzögerten so die Herausgabe. Das Windows Malicious Software Removal Tool und einige nicht sicherheitsrelevante Patches sollen aber wie geplant am Dienstag zur Verfügung stehen.

Siehe dazu auch:

    * Aktualisierte Vorankündigung zum September-Patchday von Microsoft

Quelle und Links : http://www.heise.de/newsticker/meldung/63778

[SiLæncer]

Microsoft wird am kommenden Dienstag, den 11. Oktober, gleich 9 Security-Bulletins veröffentlichen. Wie üblich erläutern die Redmonder vorab nicht, welche Lücken sie damit schließen werden.

Von den Security-Bulletins betreffen 8 Stück das Windows-Betriebsystem. Die Updates schließen auch als kritisch eingestufte Schwachstellen und erfordern einen Rechner-Neustart. Ein weiteres Update beseitigt einen als wichtig eingestuften Fehler in Windows und Exchange und benötigt ebenfalls einen Neustart, um aktiv zu werden. Ob das zum September-Patchday angekündigte und in letzter Minute zurückgezogene Update unter den jetzt angekündigten Patches zu finden sein wird, ist noch unklar.

Wie üblich aktualisiert der Softwareriese auch das Malware Removal Tool, das einige Viren, Trojaner und ähnliche Schadsoftware vom System putzen soll. Zum Oktober-Patchday gibt es diesmal keine nicht sicherheitsrelevanten Updates. Die Vorankündigungsseite ist derzeit noch leer, die Informationen wurden bis jetzt von Microsoft per E-Mail an Abonnenten der Bulletin-Notifications verschickt.

Siehe dazu auch:

    * Vorankündigung des Oktober-Patchday von Microsoft

Quelle und Links : http://www.heise.de/security/news/meldung/64671

[SiLæncer]

Zum allmonatlichen Patchday hat Microsoft wie angekündigt insgesamt neun Updates veröffentlicht. Vier davon sind als kritisch eingestuft und betreffen verschiedene Windows-Komponenten und den Internet Explorer. Die Bedeutung drei weiterer Patches klassifiziert Microsoft als hoch, zwei rangieren unter mittel.

Das Microsoft Security Bulletin MS05-050 beschreibt einen möglichen Pufferüberlauf in DirectShow, einem Bestandteil von DirectX, der sich übers Netz ausnutzen lässt. Er ermöglicht einem Angreifer volle Kontrolle über ein System, sofern der angemeldete Nutzer als Administrator arbeitet. Der muss dazu lediglich eine speziell präparierte AVI-Datei öffnen, die er aus dem Web heruntergeladen oder per E-Mail erhalten hat.

MS05-051 ist ein Sammel-Patch für mehrere Schwachstellen im Microsoft Distributed Transaction Coordinator (MSDTC) und COM+. Von den Auswirkungen dieser Fehler ist Windows XP mit Service Pack 2 allerdings nur eingeschränkt betroffen.

Bei MS05-052 geht es erneut um COM-Objekte, die sich im Internet Explorer als ActiveX-Objekte aufrufen lassen und dabei die Speicherverwaltung möglicherweise so korrumpieren, dass Angreifer eigenen Code einschleusen können. Bereits im Juni hatte die Firma SecConsult auf diese Problematik hingewiesen. Microsoft setzte daraufhin mit MS05-037 das Killbit für die COM-Komponente javaprxy.dll und anschließend einen Monat später mit MS05-038 für vierzig weitere COM-Objekte. Jetzt verhindert MS05-052 den Aufruf von 37 weiteren Objekten aus dem IE heraus. Um die Liste der kritischen Updates zu diesem Problem nicht noch länger werden zu lassen, hat Microsoft diesmal dem Internet Explorer auch zusätzliche Checks vor dem Aufruf von COM-Objekten spendiert. Allerdings waren offenbar andere schneller mit der Analyse der möglicherweise betroffenen Komponenten: Laut Microsoft wird diese Schwachstelle bereits aktiv ausgenutzt. Das Update soll auch die mit SP2 eingeführten Popup-Blocker und des Add-on-Manager verbessern.

Auch die vier nächsten Patches sollen Fehler ausbügeln, über die Angreifer die komplette Kontrolle über das System erhalten könnten. Allerdings werden die betroffenen Netware Client Services nicht standarmäßig installiert (MS05-046), die Lücke in den Plug-and-Play-Diensten erfordert einen gültigen Zugang (MS05-047), die Microsoft Collaboration Data Objects sind in Windows und Exchange per Default nicht aktiv (MS05-048) und das Ausnutzen des Fehlers der Windows Shell erfordert das Mitwirken des Opfers (MS-05-49). Diese Einschränkungen führten zu einer Einstufung in der Kategorie hoch statt kritisch.

Durch einen Fehler im Windows FTP Client kann ein Angreifer unter Umständen den Speicherort einer heruntergeladenen Datei verändern (MS05-044). Den Netzwerkverbindungsmanager kann ein Angreifer mit gültigem Zugang zum System lahmlegen (MS05-045). Beide Patches rangieren in der Stufe mittel.

Des weiteren stellt Microsoft auch eine neue Version des Malware Removal Tools bereit. Alle Patches werden über den automatischen Update-Dienst von Windows ausgeliefert, lassen sich aber auch via WUS/SUS beziehen. Angesichts der Tatsache, dass einige der Fehler bereits aktiv ausgenutzt werden, ist ein zügiges Update zu empfehlen.

Quelle und Links : http://www.heise.de/security/news/meldung/64814

[Jürgen]

Selbst für mich waren drei dabei  
Siehe Signatur...

Was mich äusserst bedenklich stimmt, ist, wie viele kritische Sicherheitslücken immer noch gemeinsam für alle möglichen IE-Versionen und Win von 9x bis XP & Co. aufgedeckt werden.
Das wirkt auf mich, als ob der Durchblick auch den Verantwortlichen und Entwicklern längst abhanden gekommen ist und "NT5" eben nicht gründlich revidiert und von Altlasten befreit wurde, wie immer behauptet. Kaum anzunehmen, dass das in Zukunft doch einmal besser wird.
Jeder mag sich darüber gerne seine eigene Meinung bilden  

[Warpi]

Ich denke das das mit Windoze Vista so weitergehen wird.
Es gibt ja schon einige "Protoypen - Würmer" dafür.
Und dann noch das ganze DRM - Gebastel , nenene

[SiLæncer]

Microsoft hat für den kommenden Patchday am 13. Dezember zwei Sicherheitsupdates für Windows angekündigt, von denen mindestens eines als "kritisch" eingestuft ist. Außerdem wird ein Update für das Malicious Software Removal Tool freigegeben. Nähere Details zu den gepatchten Sicherheitslücken und der neu erkannten Malware nennen die Redmonder wie gewöhnlich nicht.

Für den Internet Explorer ist derzeit eine ungepatchte Lücke bekannt, die der Trojaner Win32/Delf.DH zur Infektion von Windows-PCs aktiv ausnutzt. Somit steht zu hoffen, dass der angekündigte, kritische Patch dieses Problem beseitigt. Ihrer Browser-Kennung nach sind Sie nicht verwundbar, denn andere Browser als der Internet Explorer ab Version 5.5 sind von dieser Sicherheitslücke nicht betroffen.

Siehe dazu auch:

    * Microsoft Security Bulletin Advance Notification, Vorabinfo zum kommenden Patchday von Microsoft
    * Trojaner dringt über ungepatchte IE-Lücke in Windows-PCs ein, Artikel auf heise Security

Quelle und Links : http://www.heise.de/newsticker/meldung/67179

[Jürgen]

Hinweis:

Der Text der Original-Seite ist teils von Eurem Browser und dessen Einstellungen abhängig.

Im Firefox lese ich den auch wie oben zitiert.
Mit IE 6sp1 dagegen (nur testhalber genutzt) lese ich statt Ihrer Browser-Kennung nach sind Sie nicht verwundbar, denn andere Browser als der Internet Explorer ab Version 5.5 sind von dieser Sicherheitslücke nicht betroffen.das folgende:In Ihrer aktuellen Konfiguration ist JavaScript nicht aktiv. Sie sind deshalb von Rechnern in der gleichen Sicherheitszone nicht angreifbar. ...heise hat sich dabei 'was gedacht, wie mir scheint.
Die lesen erst die Browser-Kennung und gestalten die Seite entsprechend

Natürlich wird von vielen Bockmist-Seiten diese Funktion anders herum genutzt, um die passsende Sicherheitslücke anzusprechen ! ! !

[SiLæncer]

Nachdem Microsoft den dringend erwarteten WMF-Patch vorab veröffentlicht hat, kündigt das Unternehmen für den Patchday am kommenden Dienstag, den 10. Januar 2006, noch jeweils ein Security Bulletin für Windows und eines für Exchange und Office an. Das Unternehmen stuft die Sicherheitrelevanz mindestens eines der jeweiligen Patches zu den einzelnen Bulletins als kritisch ein.

Weiterhin wollen die Redmonder bis zu drei nicht sicherheitsrelevante Updates ausliefern. Wie üblich aktualisiert der Softwarekonzern auch das Malicious Software Removal Tool, das zwar einen guten Teil der derzeit verbreiteten Schädlinge von der Platte putzen, einem Virenscanner jedoch keinesfalls das Wasser reichen und diesen somit nicht ersetzen kann.

Microsoft gibt in den Vorankündigungen zum Patchday für gewöhnlich nicht an, welche Lücken konkret geschlossen werden. eEye Security listet aktuell vier kritische und ungepatchte Windows-Sicherheitslecks, über die Angreifer aus dem Netz Code einschleusen und zur Ausführung bringen können. Ob diese jedoch mit den Updates geschlossen werden, steht noch in den Sternen.

Siehe dazu auch:

    * Microsoft Security Bulletin Advance Notification, von Microsoft


Quelle und Links : http://www.heise.de/security/news/meldung/68039