Dienstag, 19. Februar 2008
Sicherheitswarnung! Lücke in Version 5.6 von JScript und VisualBasicScript
Microsoft kündigte für den Februar-Patchday ursprünglich auch die Veröffentlichung eines Sicherheitsupdates für das in Windows Script 5.6 enthaltene und von Internet Explorer 6 standardmäßig verwendete JScript (jscript.dll) und VisualBasicScript (vbscript.dll) an. Dieses Sicherheitsupdate sollte Lücken schließen, "über die ein Angreifer in ein Windows-System eindringen und die Steuerung des Systems übernehmen könnte", also Schadcode ausführen könnte.
Das Sicherheitsupdate wurde aber nicht veröffentlicht. Zu den Gründen, findet sich im MSRC-Blog ein Hinweis:
Anscheinend gab es einen Bug (Fehler) im geplanten Update, so dass es von MS zurückgezogen und nicht wie geplant veröffentlicht wurde.
Die mit dem Update zu schließende Sicherheitslücke, ist damit weiter offen. Ob diese Lücke in einschlägigen Foren bereits bekannt ist bzw. diskutiert wurde und/oder ob es bereits funktionierende Exploits (Wege zur Ausnutzung einer Lücke) oder gar Webseiten gibt, die diese Lücke bereits aktiv ausnutzen, ist zum jetzigen Zeitpunkt unbekannt.
[Update 08.04.2008]
Die Sicherheitslücke in JScript 5.6 und VBScript 5.6 wurde durch das Sicherheitsupdate KB944338 (MS08-022) behoben.
Das Sicherheitsupdate wurde aber nicht veröffentlicht. Zu den Gründen, findet sich im MSRC-Blog ein Hinweis:
If you read the February Advance Notification which we published Thursday last week, you may have noticed that the February release contains one less bulletin than was projected. We continue test and work on the updates and bulletins right up until they are published. If we find an issue with a planned bulletin, in order to make sure that we protect customers with the highest possible quality of update and detection, we may need to pull a bulletin out if it in any way falls short of this mark. If this happens in the few days before release, this may cause a delta between the Advance Notification, and what we actually release. Of course any such bulletin will be made right, and put back into the release process as quickly as possible.
Anscheinend gab es einen Bug (Fehler) im geplanten Update, so dass es von MS zurückgezogen und nicht wie geplant veröffentlicht wurde.
Die mit dem Update zu schließende Sicherheitslücke, ist damit weiter offen. Ob diese Lücke in einschlägigen Foren bereits bekannt ist bzw. diskutiert wurde und/oder ob es bereits funktionierende Exploits (Wege zur Ausnutzung einer Lücke) oder gar Webseiten gibt, die diese Lücke bereits aktiv ausnutzen, ist zum jetzigen Zeitpunkt unbekannt.
[Update 08.04.2008]
Die Sicherheitslücke in JScript 5.6 und VBScript 5.6 wurde durch das Sicherheitsupdate KB944338 (MS08-022) behoben.
Abhilfe bis zur Veröffentlichung eines Updates durch Microsoft:
In einem E-Mail-Wechsel mit dem MSRC (Microsoft Security Response Center) wurde bestätigt, dass Systeme, auf denen "Windows Script 5.7" (für Windows XP, Windows 2000 bzw. Windows Server 2003) manuell geladen und installiert wurde, von dieser Sicherheitslücke nicht betroffen sind. Die Installation von Windows Script 5.7 ist auch auf deutschsprachigen Windows Versionen möglich. Ebenfalls nicht von der Sicherheitslücke betroffen sind Systeme, auf denen der Windows Internet Explorer 7 installiert ist.
Hinweis:
Da Microsoft "intelligenterweise" Windows Script 5.7 für Windows 2000 im DownloadCenter mit einer WGA (Windows Genuine Advantage)-Prüfung versehen hat, es unter Windows 2000 aber keine WGA-"Pflicht" und damit auch keine Überprüfungsmöglichkeit gibt, ist im oberen Abschnitt der Download der "scripten.exe" für Windows 2000 direkt verlinkt.
In einem E-Mail-Wechsel mit dem MSRC (Microsoft Security Response Center) wurde bestätigt, dass Systeme, auf denen "Windows Script 5.7" (für Windows XP, Windows 2000 bzw. Windows Server 2003) manuell geladen und installiert wurde, von dieser Sicherheitslücke nicht betroffen sind. Die Installation von Windows Script 5.7 ist auch auf deutschsprachigen Windows Versionen möglich. Ebenfalls nicht von der Sicherheitslücke betroffen sind Systeme, auf denen der Windows Internet Explorer 7 installiert ist.
Hinweis:
Da Microsoft "intelligenterweise" Windows Script 5.7 für Windows 2000 im DownloadCenter mit einer WGA (Windows Genuine Advantage)-Prüfung versehen hat, es unter Windows 2000 aber keine WGA-"Pflicht" und damit auch keine Überprüfungsmöglichkeit gibt, ist im oberen Abschnitt der Download der "scripten.exe" für Windows 2000 direkt verlinkt.
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Im aktuellen SP3 sind die 5.7 Versionen noch neuer. Sie sollten das Teil endlich releasen :-\
#1
am
19.02.2008 22:15
Moin,
die Installation der im DownloadCenter zur Verfügung stehende Version von Windows Script 5.7 oder die Installation des IE7 genügt laut MSRC, um die Sicherheitslücke zu schließen.
Bye,
Freudi
die Installation der im DownloadCenter zur Verfügung stehende Version von Windows Script 5.7 oder die Installation des IE7 genügt laut MSRC, um die Sicherheitslücke zu schließen.
Bye,
Freudi
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
Kurzbeschreibung: Windows Scripting (JavaScript, Windows Scripting Host) 5.6 Komplettversion, inklusive Sicherheitsupdate KB917344 (MS06-023) Aktuell: ja (direkter Download - wird bislang [...]
Aufgenommen: 19.02.2008 05:17
Kurzbeschreibung: Windows Scripting (VBScript, JScript, Windows Script Components, Windows Script Host, und Windows Script Runtime) Version 5.7 Komplettversion in englischer Sprache. Aktuell: [...]
Aufgenommen: 19.02.2008 05:18
Kurzbeschreibung: Optionales Update der javascript.dll (JavaScript-Engine 5.6), welches die Anzeige von Webseiten, die AJAX (Asynchronous Javascript And XML) einsetzen, mit dem Internet [...]
Aufgenommen: 19.02.2008 05:20
Bevor sich hier oder per Mail die Anfragen wieder stapeln: Nach der Microsoft Security Bulletin Advance Notification für März 2008, wird es am 11. März 2008 für Windows XP-Anwender keine [...]
Aufgenommen: 07.03.2008 06:13
Kurzbeschreibung: Sicherheitsupdate, das eine Lücke im standardmäßig enthaltenen VBScript und JScript 5.6 schließen soll, über die ein Angreifer in ein Windows-System eindringen und die [...]
Aufgenommen: 08.04.2008 18:17