Nach den Patch Days im Februar und März ist auch diesmal Office wieder vertreten. Allerdings sind es diesmal „nur“ zwei Sicherheitslücken, eine kritische und eine wichtige. Vier kritische und zwei wichtige Lücken werden in Windows selbst repariert, und auch der Internet Explorer ist mal wieder betroffen.
Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
MS08-018: Code-Ausführung über Microsoft Project
In Project ist eine Sicherheitslücke aufgetaucht, über die Angreifer auf dem System beliebigen Code ausführen können. Dazu müssen sie den Nutzer dazu bringen, eine speziell präparierte Project-Datei zu öffnen.
Betroffen von der Lücke sind Project 200 Service Release 1, Project 2002 SP1 und Project 2003 SP2. Nicht betroffen sind die Project Server ab 2003 und Project ab Version 2007.
|
Datum |
09.04.2008 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Project 200 Service Release 1, Project 2002 SP1, Project 2003 SP2 |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS08-021: Code-Ausführung über Windows GDI
Die WMF-Lücke ist zurück, in einer neuen Auflage. Durch einen Fehler in der Windows GDI können Angreifer auf dem System beliebigen Code ausführen. Allerdings müssen sie den Anwender dazu bringen, eine präparierte EMF- oder WMF-Datei zu öffnen. Dadurch lässt sich wahlweise eine Heap- oder ein Stapelüberlauf erzeugen, der dem Angreifer anschließend Zugriff auf das System gibt.
Betroffen sind einmal sämtliche Windows-Versionen, inklusive Vista SP1 und Server 2008.
|
Datum |
09.04.2008 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Windows 2000 SP4, Windows XP SP2, Server 2003 SP1 und SP2, Vista, Server 2008, |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS08-22: Code-Ausführung über VBScript und JScript
Auch über die Scripting Enginesvon VBScript und JScript können Angreifer Code auf dem Zielsystem ausführen. Ist die Attacke erfolgreich, verliert der Nutzer die komplette Kontrolle über den PC. Anschließend können die Eindringlinge Daten erstellen und ändern oder neue Nutzer anlegen.
Betroffen sind Windows 2000, XP mit SP2 und alle Versionen des Windows Server 2003. Vista-Installationen und Server-2008-Umgebungen sind nicht anfällig.
|
Datum |
09.04.2008 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Windows 2000 SP4, Windows XP SP2, Server 2003 SP1 und SP2, |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS08-23: Sicherheits-Update für ActiveX Kill Bits
ActiveX erhält einen weitern Sicherheits-Patch und ein neues Kill Bit. Die entdeckte Lücke ermöglichte es Angreifern, mittels speziell präparierten Seiten Code auf dem Zielsystem auszuführen. Dieses Update enthält auch ein Kill Bit für das Yahoo! Music Jukebox-Produkt.
Betroffen sind alle Versionen von Windows. Verwenden Sie den IE 6 oder niedriger, stuft Microsoft die Lücke als kritisch ein, ab IE 7 gilt sie nur noch als „wichtig“.
|
Datum |
09.04.2008 |
|---|---|
|
Warnstufe |
Kritisch, Wichtig |
|
Betrifft |
Windows 2000 SP4, Windows XP SP2, Server 2003 SP1 und SP2, Windows Vista und Vista SP1, Server 2008 |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS08-24: Kumulatives Update für den Internet Explorer
Neben dem ActiveX Update (MS08-23) gibt es noch weitere kritische Lücken im IE. Über speziell präparierte Webseiten kann ein Angreifer dadurch Code auf dem Zielsystem ausführen.
Betroffen sind sämtliche offiziellen Versionen des IE, also von 5.01 bis 7. Version 8 wird nicht erwähnt, allerdings befindet sich diese auch noch im Beta-Stadium.
|
Datum |
09.04.2008 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 7 |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS08-020: Lücke im DNS-Client
Im DNS-Client von Windows gibt es eine Sicherheitslücke, die Spoofing-Angriffe erlaubt. Dadurch können Angreifer ihre Opfer auf präparierte Seiten umleiten und DNS-Einträge ändern.
Betroffen sind alle Windows-Versionen mit Ausnahme von Vista SP1 und dem Server 2008.
|
Datum |
09.04.2008 |
|---|---|
|
Warnstufe |
Wichtig |
|
Betrifft |
Windows 2000 SP4, Windows XP SP2, Server 2003 SP1 und SP2, Vista, |
|
Auswirkung |
Spoofing |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS08-25: Rechteausweitung über den Windows Kernel
Das Update repariert eine Lücke im Windows Kernel selbst. Lokalen Nutzern war es unter Umständen möglich, die eigenen Rechte auszuweiten und so volle Kontrolle über as System zu erlangen.
Von der als wichtig eingestuften Lücke sind sämtliche Windows-Versionen betroffen, inklusive Vista mit installiertem SP1.
|
Datum |
09.04.2008 |
|---|---|
|
Warnstufe |
Wichtig |
|
Betrifft |
Windows 2000 SP4, Windows XP SP2, Server 2003 SP1 und SP2, Vista und Vista SP1, Windows Server 2008, |
|
Auswirkung |
Rechteausweitung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS08-19: Code-Ausführung über Visio
Die Visio-Suite enthält einen Fehler, mit dessen Hilfe Angreifer das System übernehmen können. Dazu muss der lokale Benutzer eine speziell präparierte Visio-Datei öffnen.
Betroffen sind alle Versionen von Visio, inklusive die aktuellste Version 2007 mit SP1. Der Microsoft Visio Viewer ist dagegen nicht anfällig.
|
Datum |
09.04.2008 |
|---|---|
|
Warnstufe |
Wichtig |
|
Betrifft |
Visio 2002 SP2, Visio 2003 SP2. Visio 2003 SP3, Visio 2007, Visio 2007 SP1 |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |