Schwere Sicherheitslücke im Internet Explorer 8 und Adobe ColdFusion

[Christoph]

Zitat:

Eine Schwachstelle im Internet Explorer 8 ermöglicht das Ausführen beliebigen Programmcodes, wenn der Benutzer eine entsprechend präparierte Webseite aufruft. Das hat Microsoft heute in seiner Sicherheitsempfehlung 2847140 bekannt gegeben. Die Versionen 6, 7, 9 und 10 seien nicht betroffen, darum wird ein Upgrade auf neuere Versionen empfohlen, so es das Betriebssystem zulässt (Mindestvoraussetzung: Windows Vista).

An einem Update für IE8, das die Schwachstelle schließt, wird bei Microsoft noch gearbeitet. Bis dieses bereit steht, sollten IE8-Nutzer die Sicherheitseinstellungen restriktiver gestalten:

Die Sicherheitseinstellungen für die Zonen „Internet“ und „Intranet“ sollten auf „hoch“ stehen. Das blockiert auf solchen Seiten ActiveX-Controls und ActiveScripting, eventuell müssen externe Sites deswegen als vertrauenswürdig gekennzeichnet werden.

Vor dem Ausführen von ActiveScripting sollte der Browser eine Warnmeldung ausgeben.

Quelle: http://www.heise.de/newsticker/meldu...8-1856621.html

weiter Infos siehe auch:
http://www.golem.de/news/security-ze...305-99093.html

[Christoph]

Zitat:

Hotfixes von Microsoft und Adobe Update

Microsoft hat ein Hotfix für den Internet Explorer 8 veröffentlicht. Eine kritische Lücke hat es Angreifern ermöglicht, Code einzuschleusen und auf dem kompromitierten Rechner auszuführen. Die Versionen 6, 7, 9 und 10 sind von dem Problem nicht betroffen. Der Fix ist nicht Teil eines automatischen Sicherheitsupdates, der Anwender muss ihn manuell installieren.

Die Support-Seite stellt zwei Installationsdateien bereit. Durch Ausführen von MicrosoftFixIt50992.msi wird der Hotfix aktiviert, durch MicrosoftFixIt50991.msi kann man ihn wieder deaktivieren. Im Microsoft Security Advisory finden sich weitere Hintergründe zu der Schwachstelle. Die Lücke wurde vor knapp einer Woche bekannt, wurde bereits aktiv für gezielte Angriffe genutzt und seit zwei Tagen ist ein öffentlicher Exploit verfügbar. Somit ist sehr bald damit zu rechnen, dass die Lücke in großem Stil ausgenutzt wird; wer noch IE8 einsetzt, sollte den Hotfix schlenigst einspielen.

Adobe beschreibt ein kritisches Leck in ColdFusion in einem Security Bulletin (CVE-2013-3336). Durch dieses können unautorisierte Anwender Zugriff auf den Webserver erlangen und Dateien von diesem herunterladen. Betroffen sind ColdFusion 9 und 10 unter Windows, Mac OS und Linux. Einen Fix für diese kritische Lücke stellt Adobe für den 14. Mai in Aussicht; durch Zugriffsbeschränkungen auf die Ordner CFIDE/administrator, CFIDE/adminapi und CFIDE/gettingstarted kann man sich aber sofort behelfen. Das Security Bulletin erklärt die Vorgehensweise.

Adobe spricht lediglich vage von Berichten über einen öffentlich verfügbaren Exploit zu dieser Lücke. Gemeint ist wohl der von der Hackergruppe "Hack The Planet" kürzlich veröffentlichte Zero-Day. Mit dessen Hilfe hatte diese unter anderem eine ganze Reihe von prominenten Web-Sites und auch den Registrar der kompletten .edu-Domain gekapert. Bereits vor einigen Wochen hatte Adobe einen Hotfix für ColdFusion veröffentlicht, der aber offenbar andere Schwachstellen adressiert (CVE-2013-1387, CVE-2013-1388).

Quelle: http://www.heise.de/newsticker/meldu...e-1859786.html

[Christoph]

Zitat:

Patch für Internet Explorer 8 ist da

Microsoft hat einen Sicherheitspatch für den Internet Explorer 8 veröffentlicht. In diesem Monat wurde dieses Sicherheitsleck bereits ausgenutzt. Im Rahmen von Microsofts Patchday gab es neun weitere Patches für die Produkte aus Redmond.
Anzeige

Für den Internet Explorer 8 hat Microsoft nun auch einen finalen Patch veröffentlicht, nachdem es vergangene Woche bereits einen Hotfix für den Browser gab. Dieser Hotfix wurde notwendig, weil eine Sicherheitslücke im Internet Explorer 8 aktiv ausgenutzt wurde. Mit dem Patch soll das Sicherheitsloch nun geschlossen werden.

Microsoft hatte vor der Sicherheitslücke im Internet Explorer 8 gewarnt, weil dazu passender Exploit-Code im Umlauf ist. Das Sicherheitsloch wurde bereits für gezielte Angriffe vor allem auf Behörden missbraucht. In neueren Versionen des Internet Explorers trat der Fehler nicht auf. Damit waren vor allem Nutzer von Windows XP einem Angriffsrisiko ausgesetzt. Denn bei neueren Windows-Systemen ist eine aktuellere Version des Internet Explorers vorinstalliert. In vielen Unternehmen und Regierungsstellen wird aus Kompatibilitätsgründen weiterhin Windows XP eingesetzt.

Für alle Versionen des Internet Explorers hat Microsoft ebenfalls einen Patch veröffentlicht, der nochmals Sicherheitslücken im Browser beseitigt. Die betreffenden Sicherheitslücken wurden wohl bisher nicht ausgenutzt. Angreifer können über einen Großteil der Sicherheitslecks beliebigen Programmcode ausführen und sich so Zugriff auf ein fremdes System verschaffen.

Mit weiteren Patches werden nochmals 21 Sicherheitslücken geschlossen, die von Microsoft als nicht so gefährlich eingestuft werden, obwohl auch hier Sicherheitslöcher dabei sind, über die Angreifer beliebigen Programmcode ausführen können. Neben Fehlern in Windows, Office und dem .Net Framework wird auch eine Sicherheitslücke in Microsofts Essential-Lösung beseitigt. Alle Patches werden über die Updatefunktion der betreffenden Produkte verteilt und Anwender sind aufgerufen, die Patches möglichst zügig aufzuspielen.

Quelle: http://www.golem.de/news/microsoft-p...305-99256.html