Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Nach zehn Bulletins im Oktober ist es diesmal wieder ruhiger. Fünf kritische und eine wichtige Sicherheitslücken wollen gepatcht werden. Betroffen ist auch diesmal wieder das Dauer-Sorgenkind Internet Explorer. Die restlichen fünf Updates beziehen sich auf Windows selbst.
Dennoch kann dieser Patchday für zusätzlichen Ärger sorgen - der Internet Explorer 7 wird automatisch ausgeliefert. Das sich der Browser in einigen Punkten massiv von seinem Vorgänger unterscheidet, kann das zu Problemen auf einigen Webseiten führen. Microsoft stellt deswegen ein spezielles IE-Blocker-Toolkit zur Verfügung (tecCHANNEL berichtete).
Bitte beachten Sie: Der Internet-Explorer installiert sich erst nach einem Neustart komplett. Während der Installation ist kein Zugriff auf das System möglich.
MS06-067: Kumulatives Update für den Internet Explorer
Das Update für den Internet Explorer beseitigt drei aktuelle Sicherheitslücken. Im schlimmsten Fall können Sie genutzt werden, um auf dem angegriffenen System beliebigen Code auszuführen.
Zwei der Lücken entstehen durch einen Speicherfehler in dem ActiveX-Element DirectAnimation. Wird eine entsprechend präparierte Webseite mit einem unsicheren Internet Explorer besucht, kann der Angreifer einen Heap-basierten Pufferüberlauf oder einen Denial of Service auslösen.
Die dritte Lücke tritt beim Rendern von HTML-Dateien auf. Speziell präparierte Webseiten können diese Lücke ausnutzen, um das Windows-System zu attackieren und Zugriff zu erhalten.
Der aktuelle Internet Explorer 7 ist von dieser Lücke nicht betroffen.
Datum |
14.11.2006 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Windows 2000 SP4, XP SP2, XP 64, Server 2003 SP1, Server 2003 64-Bit Edition |
Auswirkung |
Ausführen beliebigen Codes |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS06-068: Systemzugriff über den Microsoft Agent
Der Microsoft Agent hat eine erneute Schwachstelle. Diesmal tritt der Fehler bei der Verarbeitung von speziell präparierten .ACF-Dateien auf.
Erhält ein Nutzer so eine Datei, etwa über eine Webseite, erhält der Angreifer Zugriff auf das betroffene System. Im schlimmsten Fall lässt sich dort anschließend beliebiger Code ausführen. Als Workaround empfiehlt Microsoft, die betroffene ActiveX-Komponente zu deaktivieren.
Datum |
14.11.2006 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Windows 2000 SP4, XP SP2, XP 64, Server 2003 SP1, Server 2003 64-Bit Edition |
Auswirkung |
Preisgabe von Informationen |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS06-069: Code-Ausführung über den Macromedia Flash Player
Der bekannte Macromedia Flash Player, inzwischen im Besitz von Adobe, besitzt in den Versionen vor Version 6.0.84.0 einige Schwachstellen. Angreifer können diese nutzen, um Code auf dem angegriffenen System auszuführen, wenn Nutzer eine präparierte SWF-Datei abspielen.
Von dieser Lücke sind lediglich Windows XP SP2 und Windows XP 64-Bit betroffen. Adobe selbst hat die Lücken bereits mit dem Adobe Security Bulletin APSB06-11 im September beseitigt. Sollten Sie bereits dieses Update installiert haben, sind Sie von der Lücke nicht mehr betroffen.
Datum |
14.11.2006 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Windows XP SP2, XP 64 |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
CVE-2006-3014, CVE-2006-3311, CVE-2006-3587, CVE-2006-3588, CVE-2006-4640 |
MS06-070: Code-Ausführung über den Workstation-Dienst
Im Workstation-Dienst von Windows XP SP2 und Windows 2000 SP 4 wurde eine neue Sicherheitslücke gefunden. Angreifer können diese nutzen, um den Speicher zu manipulieren. Gelingt die Attacke, steht dem Angreifer das System offen.
Problematisch ist allerdings, dass einige betroffene Betriebssysteme bereits nicht mehr weiterentwickelt werden. Sollten Sie also noch ein Windows vor 2000 SP 4 verwenden, empfiehlt Ihnen Microsoft auf ein aktuelleres Betriebssystem zu migrieren.
Datum |
14.11.2006 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Windows 2000 SP 4 und früher, Windows XP SP2 |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS06-071: Code-Ausführung über die Microsoft XML Core Service
Der Microsoft XML Core Service enthält in den Versionen 4.0 und 6.0 eine kritische Lücke in der XMLHTTP-ActiveX-Kontrolle. Nach einer erfolgreichen Attacke können Angreifer das komplette System übernehmen, wenn ein Nutzer mit Administrator-Privilegien am System angemeldet ist. Nutzer mit weniger Rechten sind ebenfalls betroffen, allerdings können Angreifer hier weniger Schaden anrichten, da ihre Möglichkeiten durch die vorgegeben Privilegien begrenzt sind.
Sollten Sie die XML Core Services 3.0 oder XML Core Services 5.0 einsetzen, sind sie von der Lücke nicht betroffen.
Datum |
14.11.2006 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Microsoft XML Core Service 4.0, Microsoft XML Core Service 6.0 |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS06-066: Code-Ausführung über den Netware-Client-Dienst
Das Update für den Client Service for Netware (CSNW) beseitig zwei Lücken. Behoben wurden eine Schwachstelle bei der Speicherverarbeitung, sowie eine nicht näher genannte Schwachstelle. Beide konnten Angreifer nutzen, um einen kompletten Zugriff auf das attackierte System zu erhalten.
Problematisch ist auch hier, dass der Lifecycle für einige betroffene Produkte vor Windows 2000 SP 4 bereits beendet ist. Microsoft empfiehlt auch hier, auf ein aktuelleres System aufzurüsten oder einen der genannten Workarounds durchzuführen.
Datum |
14.11.2006 |
---|---|
Warnstufe |
Wichtig |
Betrifft |
Microsoft Windows 2000 SP4, Windows XP SP2, Windows Server 2003, Windows Server 2003 SP1 |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |