|
Sieben Security-Updates und ein Mini Service Pack Veröffentlicht am: 15.10.2003 19:22:45 Die Microsoft Entwickler waren fleißig und reichern das Windows Update zur Mitte des Monats gleich mit acht Updates an Ein Angreifer kann mit einer speziellen HTML Seite und ActiveX auf ein System mit den vollen Rechten des Opfers zugreifen und eigenen Code ausführen. Betroffen sind alle NT basierten Windows Systeme. Details (Englisch) mit Sprach/OS-Auswahl zum Download Noch eine Lücke im ActiveX, diesmal im Local Troubleshooter. Auch hier kann ein Angreifer mit präparierten HTML Seiten eigenen Code ausführen. Betroffen ist nur Windows 2000 SP2, 3 und 4. Details (Englisch) mit Sprach/OS-Auswahl zum Download Im Windows Nachrichten-Dienst kann ein Pufferüberlauf erzeugt werden, durch den entweder der Dienst zum Absturz gebracht oder fremder Code ins System geschleust werden kann. Betroffen sind wieder alle NT basierten Systeme. Details (Englisch) mit Sprach/OS-Auswahl zum Download Auch die Hilfe von Windows ist Opfer einer Sicherheitslücke geworden. Über eine URL, die auf eine mit der Windows Hilfe verlinkten Dateiendung verweist, kann ein Pufferüberlauf erzeugt werden, durch den Code eingeschleust werden kann. Details (Englisch) mit Sprach/OS-Auswahl zum Download Die oft verwendeten ListBox und ComboBox Steuerelemente unter Windows können ebenfalls zu einem Pufferüberlauf führen. Schafft es ein Angreifer ein präpariertes Programm zu starten, kann er so die Kontrolle über das System erlangen. Details (Englisch) mit Sprach/OS-Auswahl zum Download Über den Exchange Server 5.5 kann ein unauthorisierter Angreifer über einen Fehler in der SMTP Implementierung eine sehr große Menge an Arbeitsspeicher belegen. Der Mail Server kann darauf hin abstürzen. In der Exchange Servcer Version 2000 kann auch eigener Code ausgeführt werden. Details (Englisch) mit Sprach/OS-Auswahl zum Download In Outlook Web Access, Bestandteil von Exchange Server 5.5, wurde ein Cross-site Scriptig entdeckt. Ein Angreifer kann also eigene Skripte ausführen. Details (Englisch) mit Sprach/OS-Auswahl zum Download Alle Updates sollten auch bereits über das Windows-Update verfügbar sein. Bei manchen wird sich noch ein weiteres, bisher nicht aufgelistetes Update mit der Nummer 826939 befinden. Hierbei handelt es sich um ein Windows XP Rollup Update, das viele ältere, aber wichtige Updates enthält. Das Rollup könnte somit das inoffiziell angekündigte 'Mini'-Service Pack sein. Die Größe beträgt etwas über 9 MB beim Direkt-Download, bzw. knapp 500KB über das Windows Update (ein Installer, der die restlichen Daten herunterläd). Das Rollup ist NUR für Windows XP mit Service Pack 1! Infos und Download (Deutsch) AlexG |