Kjw; gf;fk;
vk;ikg; gw;wp
kPs;gpuRu chpik
fUj;J
ftpij
cq;fs; fUj;J
njhlHGfSf;F
News in English
Computer
Day in Pictures
njd;wy; cyf thndhyp
 
 
njd;wypy; Njl
nrhy;:
 
Update-Alarm für XP und Office
Date&Written by:(16.02.2007- Suba)
Microsoft stopft 20 Sicherheitslücken
Microsoft geht in die Vollen: Der Softwareriese stellt zwölf Updates zum Download bereit, die insgesamt 20 teils fatale Sicherheitslücken in Windows, Microsoft Office und dem Internet Explorer schließen. Erstmals ist auch Windows Vista betroffen. Endlich werden die von Sicherheitsexperten schon mehrfach monierten Schwachstellen in Word und Excel gestopft, über die Angreifer Trojaner auf den Computer einschleusen können. Diese Lücken werden von Cyberkriminellen bereits ausgiebig ausgenutzt. Microsoft stuft sechs der Updates als "kritisch" ein – das ist im Microsoft-internen Ranking die höchste Stufe. Jeder Windows-Anwender sollte die Sicherheitsflicken umgehend installieren.

Böse Lücken endlich dicht
Neben den besonders gefährlichen Office-Lücken stopft Microsoft zahlreiche Internet-Applikationen und spendiert auch dem Internet Explorer 7 ein Sicherheitsupdate. Gleiches gilt für das neue Windows-Betriebssystem Vista, denn dessen Anti-Spionage-Programm Defender bietet ein Einfallstor für Systemeindringlinge.

Microsoft macht die Word-Lücken dicht
Das wohl wichtigste Sicherheits-Update schließt gleich sechs Lücken in Microsoft Word. Betroffen sind alle älteren Office-Suiten sowie Microsoft Works 2000 bis 2006 und Office 2004 für Mac OS X. Die Installation des Updates wird dringend empfohlen. Denn damit schließt Microsoft ein Einfallstor für Cyber-Gangster, das schon seit einigen Monaten bekannt ist und von Sicherheitsexperten als äußerst gefährlich eingestuft wird. Hacker nutzen dieses Leck bereits aus, um Systeme zu unterwandern und schädliche Programme einzuschleusen. Über so genannte Trojaner können Angreifer dann sensible Daten ausspähen und die Kontrolle über den Rechner übernehmen.

Unzureichende Daten-Prüfung verursacht das Leck
Das Problem tritt zu Tage, wenn der Anwender eine manipulierte Word-Datei ausführt. Solche Dokumente können etwa als Anhang einer eMail beiliegen oder auf Internetseiten zum Download angeboten werden. Öffnet man diese, greift der Fehler über die Datenspeicherung, so dass Angreifer Schadsoftware in das System einschleusen können. Das Sicherheits-Update schiebt diesem Missbrauch einen Riegel vor.

Office wird sicherer
Das Bulletin "MS07-015" schließt zwei weitere kritische Lecks in Microsofts Bürosoftware, über die Angreifer heimtückische Trojaner auf den PC einschleusen können. Anfällig für diese Lücke sind alle älteren Office-Versionen und die Programm-Module Microsoft Project und Microsoft Visio. Anwender der Apple-Version Office 2004 sollten das Programm ebenfalls auf den neuesten Stand bringen. Das neue Office 2007 weist das Problem dagegen nicht auf.

Hacker übernehmen die System-Kontrolle
Die als kritisch eingestuften Office-Lecks resultieren aus fehlerhaften Datensätzen in PowerPoint und Excel. Die Sicherheitsanfälligkeit kann dann ausgenutzt werden, wenn durch Hacker präparierte Dateien durch Excel oder Powerpoint geöffnet werden. Solche Dateien können in eMail-Anlagen enthalten sein oder auf einer Internetseite eingebunden werden. Im Extremfall können so Angreifer die vollständige Kontrolle über das System erlangen.

Internet Explorer versiegelt
Das kumulative Sicherheits-Update für den Internet Explorer (IE) und ein zweites Windows-Update schließen insgesamt vier als "kritisch" eingestufte Lücken. Betroffen sind die Versionen 5, 6 und 7 unter Windows XP mit Service Pack 2, XP Professional x64, Windows 2000 sowie Windows Server 2003. Lediglich der in Windows Vista vorinstallierte IE7 ist von diesen Schwachstellen ausgenommen.

Systemzugriff per FTP
Bei allen Anfälligkeiten ist es möglich, dass Angreifer die volle Systemkontrolle erlangen und über lokale Nutzerrechte Schadsoftware installieren oder Daten ausspionieren. Zwei Lecks stecken in der Behandlung von COM-Objekten, die zwischen verschiedenen Programmteilen kommunizieren. Diese könnten über präparierte Internetseiten erfolgreich ausgenutzt werden. Das kumulative Update behebt außerdem einen Fehler in den älteren Browser-Versionen IE 5 und IE 6, über den Angreifer per FTP-Verbindung, die häufig bei Datei-Downloads aufgebaut wird, Zugriff auf den PC erlangen können. Der zweite Patch stopft eine Lücke in einem ActiveX-Steuerelement der Windows-Hilfe. Auch in diesem Falle reicht der Besuch einer präparierten Webseite aus.

Microsoft flickt Anti-Viren-Schild
Auch die Anti-Viren-Tools von Microsoft enthalten eine kritische Lücke, von dem für Windows XP entwickelten Windows Defender bis hin zu der Viren-Abwehr Live OneCare für Vista. Die Lücke betrifft manipulierte PDF-Dateien, die von diesen Sicherheitstools überprüft werden. Solche Dateien können zum Beispiel in eMail-Anhängen enthalten sein. Angreifer können darüber vollen Systemzugriff erlangen und unbemerkt Schadsoftware einschleusen. Der Patch wird zudem über die automatische Update-Funktionen der betroffenen Software bereitgestellt.

Attacke über OLE-Objekte
Ein weiteres Sicherheits-Update schließt eine Lücke in der OLE-Dialogkomponente (Object Linking and Embedding) von Windows. Diese Schnittstelle erlaubt das nahtlose einfügen von Objekten in Dokumente, etwa eines Bildes in ein Word-Dokument. Die nun entdeckte Anfälligkeit betrifft schadhafte OLE-Objekte in Text-Dateien des Formats ".rtf". Über diese Objekte lässt sich ebenfalls voller Zugriff auf das System erlangen. Das Update steht für Windows XP ab Service Pack 2, Windows 2000 und Windows Server 2003 zur Verfügung.

Angriff via ActiveX und Dokumenten
Zwei weitere Patches beheben Fehler in einem ActiveX-Element der Microsoft Data Access Komponente ("kritisch") und in einem RichEdit-Element, die im Lieferumfang eines Microsoft Windows-Betriebssystems enthalten sind ("hoch"). Betroffen sind Windows XP, Windows 2000 sowie Windows Server 2003 und Programme, die Microsoft RichEdit unterstützen. So etwa die Office-Suiten 2000 bis 2003 und Office 2004 für Mac OS X. Ein Angreifer kann über eine präparierte Webseite diese Sicherheitslücken ausnutzen und verschiedene Schadprogramme auf den PC schleusen. Darüber ist es ebenfalls möglich die völlige Kontrolle über den Rechner zu erhalten.

RTF-Dateien greifen an
In der mit Windows ausgelieferten Entwickler-Komponente MFC zur Unterstützung der Programmiersprache "C++" besteht eine Sicherheitslücke, über die ein Hacker die völlige Kontrolle über den PC übernehmen kann. Ein Angreifer kann die Sicherheitslücke missbrauchen, wenn der Anwender eine manipulierte Textdatei im ".rtf"-Format öffnet. Das von der Wichtigkeit als "hoch" eingestufte Update steht für Windows XP mit Service Pack 2, 2000 mit Service Pack 4 und Windows Server 2003 zur Verfügung.

Gefährliche Windows-Dienste
Mit zwei Windows-Updates schließt Microsoft löchrige Bereiche in der Rechtevergabe von Windows XP und Server 2003. Nutzt ein Angreifer diese Schwachstellen erfolgreich aus, könnte er Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Da der Angreifer als Benutzer am PC angemeldet sein muss, stuft Microsoft diese Gefährdungen nur als "hoch" ein. Das erste Update dieser Reihe stopft eine Lücke in der Windows Shell, die über die Hardwareerkennung eine Erhöhung der Nutzerrechte erlaubt.

Lückenhafter Bilderfassungsdienst
Die zweite Anfälligkeit für die unbefugte Erhöhung von Zugriffsrechten betrifft den Windows-Bilderfassungsdienst (WIA). Dieser Dienste ist standardmäßig unter Windows nicht aktiviert, schaltet sich aber ein, sobald eine Digitalkamera oder ein Scanner mit dem PC verbunden wird.

"Ausputzer" verbessert
Letztlich stellt Microsoft auch eine aktualisierte Fassung seines Windows-Tools zum Entfernen bösartiger Software bereit. Der Ausputzer erkennt und entfernt mittlerweile 87 verschiedene Schädlinge. Neu erkannt werden zwei Haxdoor-Varianten, Trojanische Pferde, die Benutzer ausspionieren können.

Powered By © StrangerNetWork Operations Department- Germany.


Copyright © 2005-10 ThenralWorldNews.com, All Rights Reserved