Dauerhafte Einträge
Sicherheitswarnung! Lücke in Internet Explorer ermöglicht das Auslesen von lokalen Dateien [Update]
Microsoft warnt im Security Advisory 980088 (deutschsprachig) vor einer neu bekannt gewordenen Sicherheitslücke in Internet Explorer (IE) 6, IE7 und IE8 unter allen unterstützten Windows Versionen (Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2), über die sich beim Besuch einer entsprechend präparierten Website Dateien aus dem lokalen System auslesen lassen (Informationsausspähung / Information Disclosure).
Ausnutzen lässt sich diese Sicherheitslücke über einen Fehler im "file://"-Potokoll, über welches auch über den Internet Explorer der Zugriff auf lokale Dateien ermöglicht wird. Ist der Speicherort einer lokal auf dem System liegenden Datei bekannt und wird der Pfad im UNC-Format angegeben und kommt auf einer präpartierten Website bestimmter JavaScript-Code zum Einsatz, lässt sich die Datei von außen auslesen. Diese Sicherheitslücke soll sich durch den "Geschützen Modus", in dem die "Internet"-Zone des Internet Explorer unter Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 standardmäßig ausgeführt wird, nach Microsoft-Angaben nicht ausnutzen lassen. Gleichwohl besteht die Sicherheitslücke grundsätzlich auch unter diesen Systemen, wenn der Internet Explorer zum Einsatz kommt bzw. Anwendungen auf dessen Mechanismen zurückgreifen.
Öffentlich bekannt gemacht wurde diese Sicherheitslücke auf der Black Hat Sicherheitskonferenz. Detaillierte technische Beschreibungen der Lücke finden sich u.a. bei "Core Security Technologies", bei der die Entdecker der Lücke Jorge Luis Álvarez Medina und Federico Muttis beschäftigt sind. Diese Sicherheitslücke firmiert auch unter dem CVE-Namen CVE-2010-0255.
Microsoft arbeitet nach eigenen Angaben an einem Sicherheitsupdate. [Update] In einem weiteren Eintrag im MSRC-Blog teilt Microsoft mit, dass mit der Veröffentlichung eines Sicherheitsupdates, welches diese Lücke schließen soll, nicht am 09. Februar 2010 zu rechnen sei, dem nächsten regulären Patch-Day (jeden zweiten Dienstag im Monat). [/Update]
Abhilfe bis zur Beseitigung der Sicherheitslücke:
Als wirkungsvollsten Workaround empfiehlt es sich ab Windows XP aufwärts, über den "Internet Explorer Network Protocol Lockdown"-Mechanismus das automatische Ausführen von ActiveScriping (u.a. JavaScript) und ActiveX über das file://-Protokoll zu unterbinden. Microsoft stellt hierzu im MS-KnowlegeBase-Artikel KB980088 eine halbautomatische "Fix it!"-Lösung bereit.
Alternativ empfiehlt Microsoft einmal mehr das Heraufsetzen der Sicherheitsstufe für die "Internet" und "Intranet"-Zonen auf "Hoch" in den Internetoptionen über "Sicherheit -> Stufe anpassen". Damit wird das Ausführen von JavaScript in den jeweiligen "Zonen" durch den Internet Explorer unterbunden.
Ausnutzen lässt sich diese Sicherheitslücke über einen Fehler im "file://"-Potokoll, über welches auch über den Internet Explorer der Zugriff auf lokale Dateien ermöglicht wird. Ist der Speicherort einer lokal auf dem System liegenden Datei bekannt und wird der Pfad im UNC-Format angegeben und kommt auf einer präpartierten Website bestimmter JavaScript-Code zum Einsatz, lässt sich die Datei von außen auslesen. Diese Sicherheitslücke soll sich durch den "Geschützen Modus", in dem die "Internet"-Zone des Internet Explorer unter Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 standardmäßig ausgeführt wird, nach Microsoft-Angaben nicht ausnutzen lassen. Gleichwohl besteht die Sicherheitslücke grundsätzlich auch unter diesen Systemen, wenn der Internet Explorer zum Einsatz kommt bzw. Anwendungen auf dessen Mechanismen zurückgreifen.
Öffentlich bekannt gemacht wurde diese Sicherheitslücke auf der Black Hat Sicherheitskonferenz. Detaillierte technische Beschreibungen der Lücke finden sich u.a. bei "Core Security Technologies", bei der die Entdecker der Lücke Jorge Luis Álvarez Medina und Federico Muttis beschäftigt sind. Diese Sicherheitslücke firmiert auch unter dem CVE-Namen CVE-2010-0255.
Microsoft arbeitet nach eigenen Angaben an einem Sicherheitsupdate. [Update] In einem weiteren Eintrag im MSRC-Blog teilt Microsoft mit, dass mit der Veröffentlichung eines Sicherheitsupdates, welches diese Lücke schließen soll, nicht am 09. Februar 2010 zu rechnen sei, dem nächsten regulären Patch-Day (jeden zweiten Dienstag im Monat). [/Update]
Abhilfe bis zur Beseitigung der Sicherheitslücke:
Als wirkungsvollsten Workaround empfiehlt es sich ab Windows XP aufwärts, über den "Internet Explorer Network Protocol Lockdown"-Mechanismus das automatische Ausführen von ActiveScriping (u.a. JavaScript) und ActiveX über das file://-Protokoll zu unterbinden. Microsoft stellt hierzu im MS-KnowlegeBase-Artikel KB980088 eine halbautomatische "Fix it!"-Lösung bereit.
Alternativ empfiehlt Microsoft einmal mehr das Heraufsetzen der Sicherheitsstufe für die "Internet" und "Intranet"-Zonen auf "Hoch" in den Internetoptionen über "Sicherheit -> Stufe anpassen". Damit wird das Ausführen von JavaScript in den jeweiligen "Zonen" durch den Internet Explorer unterbunden.
Sicherheitswarnung! Sicherheitslücke in Windows-Kernel (16-bit Virtualisierung) ermöglicht Rechteausweitung [2. Update]
Microsoft warnt im Security Advisory 979682 (deutschsprachig) vor einer jetzt veröffentlichten Sicherheitslücke im Windows-Kernel von 32-bit (x86) Versionen von Windows, über die sich ein lokal angemeldeter Benutzer höhere Zugriffsrechte verschaffen könnte (Elevation of Privilege). Die Lücke findet sich im NT Virtual DOS Mode (NTVDM) des Windows Kernels, der für die Ausführung von 16-bit Anwendungen verwendet wird. 64-bit (x64) Versionen von Windows sind von dieser Sicherheitslücke nicht betroffen, da hierunter ohnehin keine 16-bit Programme (mit Bordmitteln) ausgeführt werden können.
Microsoft arbeitet nach eigenen Angaben an einem Sicherheitsupdate. [2. Update] In einem weiteren Eintrag im MSRC-Blog teilt Microsoft mit, dass mit der Veröffentlichung eines Sicherheitsupdates, welches diese Lücke schließen soll, am 09. Februar 2010 zu rechnen sei, dem nächsten regulären Patch-Day (jeden zweiten Dienstag im Monat). [/2. Update]
Abhilfe bis zur Beseitigung der Sicherheitslücke:
Microsoft empfiehlt das Deaktivieren von NTVDM, falls keine 16-bit Anwendungen installiert sind bzw. verwendet werden. Dies kann unter Windows XP Professional und unter Windows 7 Professional, Ultimate und Enterprise über den Gruppenrichtlinien-Editor (Start -> Ausführen bzw. Suchfeld -> gpedit.msc [Enter]) von einem Benutzer mit Adminstrator-Rechten durchgeführt werden. In den Gruppenrichtlinien über "Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Anwendungskompatibilität" die Richtlinie "Zugriff auf 16-Bit-Anwendungen verhindern" aktivieren. Entgegen der Aussage des Gruppenrichtlinen-Editors, dass hierzu mindestens Windows Server 2003 Voraussetzung sei, wirkt die Richtline auch unter Windows XP.
Anwender von Windows XP Home Edition oder Windows 7 Home Premium, unter denen kein Gruppenrichtlinien-Editor vorhanden ist, können die Richtlinie über einen entsprechenden Registry-Eintrag aktivieren. Der Einfachheit halber stelle ich die Advisory979682.zip zum Download zur Verfügung. Die (nach dem Auspacken/Öffnen der ZIP-Datei zum Vorschein kommende) "enableAdvisory979682.reg" deaktiviert NTVDM, wenn sie von einem Benutzer mit Adminstratoren-Rechten über einen Doppelklick in die Registry importiert wird. Die ebenfalls enthaltene "disableAdvisory979682.reg", reaktiviert das derzeit anfällige NTVDM im Bedarfsfall, setzt also auch die "Gruppenrichtlinie" außer Kraft.
[Update]
Inzwischen stellt Microsoft über den neuen MSKB-Artikel KB979682 eine "Fix it!"-Lösung bereit, welche NTVDM ebenfalls halbautomatisch deaktiviert.
[/Update]
Microsoft arbeitet nach eigenen Angaben an einem Sicherheitsupdate. [2. Update] In einem weiteren Eintrag im MSRC-Blog teilt Microsoft mit, dass mit der Veröffentlichung eines Sicherheitsupdates, welches diese Lücke schließen soll, am 09. Februar 2010 zu rechnen sei, dem nächsten regulären Patch-Day (jeden zweiten Dienstag im Monat). [/2. Update]
Abhilfe bis zur Beseitigung der Sicherheitslücke:
Microsoft empfiehlt das Deaktivieren von NTVDM, falls keine 16-bit Anwendungen installiert sind bzw. verwendet werden. Dies kann unter Windows XP Professional und unter Windows 7 Professional, Ultimate und Enterprise über den Gruppenrichtlinien-Editor (Start -> Ausführen bzw. Suchfeld -> gpedit.msc [Enter]) von einem Benutzer mit Adminstrator-Rechten durchgeführt werden. In den Gruppenrichtlinien über "Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Anwendungskompatibilität" die Richtlinie "Zugriff auf 16-Bit-Anwendungen verhindern" aktivieren. Entgegen der Aussage des Gruppenrichtlinen-Editors, dass hierzu mindestens Windows Server 2003 Voraussetzung sei, wirkt die Richtline auch unter Windows XP.
Anwender von Windows XP Home Edition oder Windows 7 Home Premium, unter denen kein Gruppenrichtlinien-Editor vorhanden ist, können die Richtlinie über einen entsprechenden Registry-Eintrag aktivieren. Der Einfachheit halber stelle ich die Advisory979682.zip zum Download zur Verfügung. Die (nach dem Auspacken/Öffnen der ZIP-Datei zum Vorschein kommende) "enableAdvisory979682.reg" deaktiviert NTVDM, wenn sie von einem Benutzer mit Adminstratoren-Rechten über einen Doppelklick in die Registry importiert wird. Die ebenfalls enthaltene "disableAdvisory979682.reg", reaktiviert das derzeit anfällige NTVDM im Bedarfsfall, setzt also auch die "Gruppenrichtlinie" außer Kraft.
[Update]
Inzwischen stellt Microsoft über den neuen MSKB-Artikel KB979682 eine "Fix it!"-Lösung bereit, welche NTVDM ebenfalls halbautomatisch deaktiviert.
[/Update]
Dienstag, 26. Januar 2010
978506 - Update der Liste für Kompatibilitätsansicht in IE8 unter Windows XP - 26.01.10
Kurzbeschreibung:
Optionales Update, das die Darstellung von Websites, die für ältere Internet Explorer-Versionen entwickelt wurden, in Internet Explorer 8 verbessern soll. Ein aktualisierte Liste von 50 Top-Sites pro Toplevel Domain ("Länderkennzeichen" einer Domain, also z.B. ".de", ".at" oder ".com"), welche durch den IE8 automatisch im Kompatibiltätsmodus (für ältere Internet Explorer-Versionen) darstellt. Diese Liste will Microsoft regelmäßig (ursprünglich alle zwei Monate, vorübergehend ca. monatlich) durch entsprechende Updates aktualisieren. Nach der Installation des Updates, lässt sich die Liste durch die Eingabe von res://iecompat.dll/iecompatdata.xml in der Adresszeile des IE8 einsehen. Siehe MSKB-Artikel KB968220 und KB960321, sowie Eintrag im IE-Blog von Microsoft zum Thema.
Aktuell: ja
Direkter Download - wird auch über Windows Update als optionales Update angeboten.
Ersetzt:
Kompatibiltätsansichtsupdate KB975364.
Enthält:
iecompat.dll (8.0.6001.18872 - 11.12.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB978506.
Anmerkung:
Optionales Update, das die Darstellung von Websites, die für ältere Internet Explorer-Versionen entwickelt wurden, in Internet Explorer 8 verbessern soll. Ein aktualisierte Liste von 50 Top-Sites pro Toplevel Domain ("Länderkennzeichen" einer Domain, also z.B. ".de", ".at" oder ".com"), welche durch den IE8 automatisch im Kompatibiltätsmodus (für ältere Internet Explorer-Versionen) darstellt. Diese Liste will Microsoft regelmäßig (ursprünglich alle zwei Monate, vorübergehend ca. monatlich) durch entsprechende Updates aktualisieren. Nach der Installation des Updates, lässt sich die Liste durch die Eingabe von res://iecompat.dll/iecompatdata.xml in der Adresszeile des IE8 einsehen. Siehe MSKB-Artikel KB968220 und KB960321, sowie Eintrag im IE-Blog von Microsoft zum Thema.
Aktuell: ja
Direkter Download - wird auch über Windows Update als optionales Update angeboten.
Ersetzt:
Kompatibiltätsansichtsupdate KB975364.
Enthält:
iecompat.dll (8.0.6001.18872 - 11.12.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB978506.
Anmerkung:
Donnerstag, 21. Januar 2010
978207 (MS10-002) - Kumulatives Sicherheitsupdate für IE8 unter Windows XP - 21.01.10
Kurzbeschreibung:
Wichtiges, kumulatives Sicherheitsupdate, das u.a. eine kritische Lücke im Windows Internet Explorer 8 unter Windows XP schließen soll, durch die ein Angreifer in Windows-Systeme eindringen und die Steuerung übernehmen könnte (Remote Code Execution). Siehe Security Bulletin MS10-002 (englisch bzw. deutsch) sowie Sicherheitswarnung vom 15.01.2010. Aufgrund der Schwere der Sicherheitslücke, hat Microsoft dieses Sicherheitsupdate außerhalb des üblichen Patch-Day-Zyklusses (jeden zweiten Dienstag im Monat) veröffentlicht.
Aktuell: ja
direkter Download oder über Windows Update
Ersetzt:
Alle bislang für IE8 unter Windows XP erschienene Kumulativen Sicherheitsupdates, zuletzt Kumulatives Sicherheitsupdate KB976325 (MS09-072)
Bekannte Probleme:
Siehe MSKB-Artikel KB978207. Beachten Sie aber bitte auch die Allgemeinen Hinweise zu kumulativen Updates für IE7 und IE8 auf dieser kleinen Site, insbesondere, wenn nach der Installation des Updates kein Zugriff auf Websites über den Internet Explorer möglich ist.
Enthält: Artikel weiterlesen...
Wichtiges, kumulatives Sicherheitsupdate, das u.a. eine kritische Lücke im Windows Internet Explorer 8 unter Windows XP schließen soll, durch die ein Angreifer in Windows-Systeme eindringen und die Steuerung übernehmen könnte (Remote Code Execution). Siehe Security Bulletin MS10-002 (englisch bzw. deutsch) sowie Sicherheitswarnung vom 15.01.2010. Aufgrund der Schwere der Sicherheitslücke, hat Microsoft dieses Sicherheitsupdate außerhalb des üblichen Patch-Day-Zyklusses (jeden zweiten Dienstag im Monat) veröffentlicht.
Aktuell: ja
direkter Download oder über Windows Update
Ersetzt:
Alle bislang für IE8 unter Windows XP erschienene Kumulativen Sicherheitsupdates, zuletzt Kumulatives Sicherheitsupdate KB976325 (MS09-072)
Bekannte Probleme:
Siehe MSKB-Artikel KB978207. Beachten Sie aber bitte auch die Allgemeinen Hinweise zu kumulativen Updates für IE7 und IE8 auf dieser kleinen Site, insbesondere, wenn nach der Installation des Updates kein Zugriff auf Websites über den Internet Explorer möglich ist.
Enthält: Artikel weiterlesen...
978207 (MS10-002) - Kumulatives Sicherheitsupdate für IE7 unter Windows XP - 21.01.10
Kurzbeschreibung:
Wichtiges, kumulatives Sicherheitsupdate, das eine kritische Lücke im Windows Internet Explorer 7 unter Windows XP schließen soll, durch die ein Angreifer in Windows-Systeme eindringen und die Steuerung übernehmen könnte (Remote Code Execution). Siehe Security Bulletin MS10-002 (englisch bzw. deutsch) sowie Sicherheitswarnung vom 15.01.2010. Aufgrund der Schwere der Sicherheitslücke, hat Microsoft dieses Sicherheitsupdate außerhalb des üblichen Patch-Day-Zyklusses (jeden zweiten Dienstag im Monat) veröffentlicht.
Aktuell: ja
direkter Download oder über Windows Update
Ersetzt:
Alle bislang für IE7 unter Window XP erschienene Kumulativen Sicherheitsupdates, zuletzt Kumulatives Sicherheitsupdate KB976325 (MS09-072).
Bekannte Probleme:
Siehe MSKB-Artikel KB978207. Beachten Sie aber bitte auch die Allgemeinen Hinweise zu kumulativen Updates für IE7 und IE8 auf dieser kleinen Site, insbesondere, wenn nach der Installation des Updates kein Zugriff auf Websites über den Internet Explorer möglich ist.
Anmerkung:
Anwender, denen es möglich ist, sollte auch im eigenen Interesse ohnehin die Installation des Windows Internet Explorer 8 in Betracht ziehen. Er bringt nicht nur bei der standkompatibleren Anzeige von Websiten Vorteile, sondern auch bezüglich verschiedener, zusätzlicher Sicherheitsmaßnahmen.
Enthält: Artikel weiterlesen...
Wichtiges, kumulatives Sicherheitsupdate, das eine kritische Lücke im Windows Internet Explorer 7 unter Windows XP schließen soll, durch die ein Angreifer in Windows-Systeme eindringen und die Steuerung übernehmen könnte (Remote Code Execution). Siehe Security Bulletin MS10-002 (englisch bzw. deutsch) sowie Sicherheitswarnung vom 15.01.2010. Aufgrund der Schwere der Sicherheitslücke, hat Microsoft dieses Sicherheitsupdate außerhalb des üblichen Patch-Day-Zyklusses (jeden zweiten Dienstag im Monat) veröffentlicht.
Aktuell: ja
direkter Download oder über Windows Update
Ersetzt:
Alle bislang für IE7 unter Window XP erschienene Kumulativen Sicherheitsupdates, zuletzt Kumulatives Sicherheitsupdate KB976325 (MS09-072).
Bekannte Probleme:
Siehe MSKB-Artikel KB978207. Beachten Sie aber bitte auch die Allgemeinen Hinweise zu kumulativen Updates für IE7 und IE8 auf dieser kleinen Site, insbesondere, wenn nach der Installation des Updates kein Zugriff auf Websites über den Internet Explorer möglich ist.
Anmerkung:
Anwender, denen es möglich ist, sollte auch im eigenen Interesse ohnehin die Installation des Windows Internet Explorer 8 in Betracht ziehen. Er bringt nicht nur bei der standkompatibleren Anzeige von Websiten Vorteile, sondern auch bezüglich verschiedener, zusätzlicher Sicherheitsmaßnahmen.
Enthält: Artikel weiterlesen...
978207 (MS10-002) - Kumulatives Sicherheitsupdate für Internet Explorer 6 unter Windows XP SP3 - 21.01.10
Kurzbeschreibung:
Wichtiges, kumulatives Sicherheitsupdate, das u.a. eine kritische Lücke im in Windows XP SP3 standardmäßig enthaltenen Internet Explorer 6 schließen soll, durch die ein Angreifer in Windows-Systeme eindringen und die Steuerung übernehmen könnte (Remote Code Execution). Siehe Security Bulletin MS10-002 (englisch bzw. deutsch) sowie Sicherheitswarnung vom 15.01.2010. Aufgrund der Schwere der Sicherheitslücke, hat Microsoft dieses Sicherheitsupdate außerhalb des üblichen Patch-Day-Zyklusses (jeden zweiten Dienstag im Monat) veröffentlicht.
Aktuell: ja
direkter Download oder über Windows Update
Ersetzt:
Alle bislang für IE6 unter Windows XP SP3 erschienene Kumulativen Sicherheitsupdates, zuletzt Kumulatives Sicherheitsupdate KB976325 (MS09-072)
Enthält:
html.iec (2009.10.31.10 - 22.12.2009)
ieencode.dll (2009.10.31.10 - 22.12.2009)
mshtml.dll (6.0.2900.5921 - 22.12.2009)
shdocvw.dll (6.0.2900.5921 - 22.12.2009)
tdc.ocx (1.3.0.3131 - 22.12.2009)
urlmon.dll (6.0.2900.5921 - 22.12.2009)
wininet.dll (6.0.2900.5921 - 22.12.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB978207
Anmerkung:
Anwender, denen es möglich ist, sollte auch im eigenen Interesse ohnehin die Installation des Windows Internet Explorer 8 in Betracht ziehen. Er bringt nicht nur bei der standkompatibleren Anzeige von Websiten Vorteile, sondern auch bezüglich verschiedener, zusätzlicher Sicherheitsmaßnahmen.
Wichtiges, kumulatives Sicherheitsupdate, das u.a. eine kritische Lücke im in Windows XP SP3 standardmäßig enthaltenen Internet Explorer 6 schließen soll, durch die ein Angreifer in Windows-Systeme eindringen und die Steuerung übernehmen könnte (Remote Code Execution). Siehe Security Bulletin MS10-002 (englisch bzw. deutsch) sowie Sicherheitswarnung vom 15.01.2010. Aufgrund der Schwere der Sicherheitslücke, hat Microsoft dieses Sicherheitsupdate außerhalb des üblichen Patch-Day-Zyklusses (jeden zweiten Dienstag im Monat) veröffentlicht.
Aktuell: ja
direkter Download oder über Windows Update
Ersetzt:
Alle bislang für IE6 unter Windows XP SP3 erschienene Kumulativen Sicherheitsupdates, zuletzt Kumulatives Sicherheitsupdate KB976325 (MS09-072)
Enthält:
html.iec (2009.10.31.10 - 22.12.2009)
ieencode.dll (2009.10.31.10 - 22.12.2009)
mshtml.dll (6.0.2900.5921 - 22.12.2009)
shdocvw.dll (6.0.2900.5921 - 22.12.2009)
tdc.ocx (1.3.0.3131 - 22.12.2009)
urlmon.dll (6.0.2900.5921 - 22.12.2009)
wininet.dll (6.0.2900.5921 - 22.12.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB978207
Anmerkung:
Anwender, denen es möglich ist, sollte auch im eigenen Interesse ohnehin die Installation des Windows Internet Explorer 8 in Betracht ziehen. Er bringt nicht nur bei der standkompatibleren Anzeige von Websiten Vorteile, sondern auch bezüglich verschiedener, zusätzlicher Sicherheitsmaßnahmen.
Dienstag, 12. Januar 2010
972270 (MS10-001) - Sicherheitslücke bei Verarbeitung eingebetteter Web-Schriftarten - 12.01.10
Kurzbeschreibung:
Sicherheitsupdate, das eine Lücke bei der Verarbeitung eingebetteter Web-Schriftarten (Embedded OpenType Font Engine) schließen soll, durch die ein Angreifer in Windows-Systeme eindringen und die Steuerung übernehmen könnte (Remote Code Execution). Siehe Security Bulletin MS10-001 (englisch bzw. deutsch).
Aktuell: ja
direkter Download oder über Windows Update
Ersetzt:
Sicherheitsupdate KB961371 v2 (MS09-029)
Enthält:
fontsub.dll (5.1.2600.5888 - 15.10.2009)
t2embed.dll (5.1.2600.5888 - 15.10.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB972270
Sicherheitsupdate, das eine Lücke bei der Verarbeitung eingebetteter Web-Schriftarten (Embedded OpenType Font Engine) schließen soll, durch die ein Angreifer in Windows-Systeme eindringen und die Steuerung übernehmen könnte (Remote Code Execution). Siehe Security Bulletin MS10-001 (englisch bzw. deutsch).
Aktuell: ja
direkter Download oder über Windows Update
Ersetzt:
Sicherheitsupdate KB961371 v2 (MS09-029)
Enthält:
fontsub.dll (5.1.2600.5888 - 15.10.2009)
t2embed.dll (5.1.2600.5888 - 15.10.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB972270
Dienstag, 8. Dezember 2009
973904 (MS09-073) - Sicherheitslücke im Wordpad-Textconverter - 08.12.09
Kurzbeschreibung:
Sicherheitsupdate, das eine Lücke im Wordpad-Textconverter schließen soll, durch die ein Angreifer in Windows-Systeme eindringen und die Steuerung übernehmen könnte (Remote Code Execution). Siehe Security Bulletin MS09-073 (englisch bzw. deutsch).
Aktuell: ja
direkter Download oder über Windows Update
Enthält:
html32.cnv (2003.1100.8165.0 - 29.07.2009)
msconv97.dll (2003.1100.8165.0 - 29.07.2009)
mswrd6.wpc (2009.10.31.10 - 21.11.2009)
mswrd632.wpc (2009.10.31.10 - 21.11.2009)
mswrd8.wpc (2009.10.31.10 - 21.11.2009)
mswrd832.cnv (2003.1100.8313.0 - 16.09.2009)
write.wpc (2009.10.31.10 - 21.11.2009)
write32.wpc (2009.10.31.10 - 21.11.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB973904
Anmerkung:
Nach Installation dieses Updates ist es aus Sicherheitsgründen nicht mehr möglich, mit Word 6 erstellte Dateien in Wordpad zu öffnen. Siehe hierzu auch KB975539.
Sicherheitsupdate, das eine Lücke im Wordpad-Textconverter schließen soll, durch die ein Angreifer in Windows-Systeme eindringen und die Steuerung übernehmen könnte (Remote Code Execution). Siehe Security Bulletin MS09-073 (englisch bzw. deutsch).
Aktuell: ja
direkter Download oder über Windows Update
Enthält:
html32.cnv (2003.1100.8165.0 - 29.07.2009)
msconv97.dll (2003.1100.8165.0 - 29.07.2009)
mswrd6.wpc (2009.10.31.10 - 21.11.2009)
mswrd632.wpc (2009.10.31.10 - 21.11.2009)
mswrd8.wpc (2009.10.31.10 - 21.11.2009)
mswrd832.cnv (2003.1100.8313.0 - 16.09.2009)
write.wpc (2009.10.31.10 - 21.11.2009)
write32.wpc (2009.10.31.10 - 21.11.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB973904
Anmerkung:
Nach Installation dieses Updates ist es aus Sicherheitsgründen nicht mehr möglich, mit Word 6 erstellte Dateien in Wordpad zu öffnen. Siehe hierzu auch KB975539.
974318 (MS09-071) - Sicherheitslücke im Internetauthentifizierungsserver Service - 08.12.09
Kurzbeschreibung:
Sicherheitsupdate, das eine Lücke im Internetauthentifizierungsserver Service (Internet Authentication Service - IAS) schließen soll, durch die ein angemeldeter Benutzer höhere Benutzerrechte erlangen könnte (Elevation of Privilege). Siehe Security Bulletin MS09-071 (englisch bzw. deutsch).
Aktuell: ja
direkter Download oder über Windows Update
Enthält:
raschap.dll (5.1.2600.5886 - 12.10.2009)
rastls.dll (5.1.2600.5886 - 12.10.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB974318
Sicherheitsupdate, das eine Lücke im Internetauthentifizierungsserver Service (Internet Authentication Service - IAS) schließen soll, durch die ein angemeldeter Benutzer höhere Benutzerrechte erlangen könnte (Elevation of Privilege). Siehe Security Bulletin MS09-071 (englisch bzw. deutsch).
Aktuell: ja
direkter Download oder über Windows Update
Enthält:
raschap.dll (5.1.2600.5886 - 12.10.2009)
rastls.dll (5.1.2600.5886 - 12.10.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB974318
974392 (MS09-069) - Sicherheitslücke im LSASS - 08.12.09
Kurzbeschreibung:
Sicherheitsupdate, das eine Lücke im Local Security Authority Subsystem (LSASS - "Subsystemdienst für die lokale Sicherheitsautorität") schließen soll, über die eine eine DoS (Denial of Service)-Attacke durchgeführt werden könnte, wenn eine IPSec-Verbindung besteht. Siehe Security Bulletin MS09-069 (englisch bzw. deutsch).
Aktuell: ja
direkter Download oder über Windows Update
Enthält:
oakley.dll (5.1.2600.5886 - 13.10.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB974392
Sicherheitsupdate, das eine Lücke im Local Security Authority Subsystem (LSASS - "Subsystemdienst für die lokale Sicherheitsautorität") schließen soll, über die eine eine DoS (Denial of Service)-Attacke durchgeführt werden könnte, wenn eine IPSec-Verbindung besteht. Siehe Security Bulletin MS09-069 (englisch bzw. deutsch).
Aktuell: ja
direkter Download oder über Windows Update
Enthält:
oakley.dll (5.1.2600.5886 - 13.10.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB974392
971737 - Erhöhung der Sicherheit von Authentifizierungsinformationen in bestimmten Szenarien (hier: HTTP-Dienst) - 08.12.09
Kurzbeschreibung:
Optionales aber empfohlenes Update, das die Sicherheit von Authentifizierungsinformationen in bestimmten Szenarien (hier: HTTP-Dienst) erhöhen soll. Siehe MSKB-Artikel KB971737.
Aktuell: ja
direkter Download oder über Windows/Microsoft Update.
Ergänzt/Ersetzt:
Sicherheitsupdate KB960803 (MS09-013)
Enthält:
winhttp.dll (5.1.2600.5868 - 25.08.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB971737.
Anmerkung:
Dieses Update setzt die Reihe fort, die mit dem optionales, empfohlenen Update KB968389 zur Stärkung der Sicherheit der Anmeldeinformationen begonnen wurde. Siehe hierzu auch Security Advisory bzw. Sicherheitsempfehlung 974926 (englisch bzw. deutsch).
Zur Aktivierung der zusätzlichen Sicherheitsfunktionen ist ein manueller Eingriff in die Registry erforderlich - siehe hierzu auch Artikel zu KB968389.
Optionales aber empfohlenes Update, das die Sicherheit von Authentifizierungsinformationen in bestimmten Szenarien (hier: HTTP-Dienst) erhöhen soll. Siehe MSKB-Artikel KB971737.
Aktuell: ja
direkter Download oder über Windows/Microsoft Update.
Ergänzt/Ersetzt:
Sicherheitsupdate KB960803 (MS09-013)
Enthält:
winhttp.dll (5.1.2600.5868 - 25.08.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB971737.
Anmerkung:
Dieses Update setzt die Reihe fort, die mit dem optionales, empfohlenen Update KB968389 zur Stärkung der Sicherheit der Anmeldeinformationen begonnen wurde. Siehe hierzu auch Security Advisory bzw. Sicherheitsempfehlung 974926 (englisch bzw. deutsch).
Zur Aktivierung der zusätzlichen Sicherheitsfunktionen ist ein manueller Eingriff in die Registry erforderlich - siehe hierzu auch Artikel zu KB968389.
970430 - Erhöhung der Sicherheit von Authentifizierungsinformationen in bestimmten Szenarien (hier: im HTTP-Protokoll Stack) - 08.12.09
Kurzbeschreibung:
Optionales aber empfohlenes Update, das die Sicherheit von Authentifizierungsinformationen in bestimmten Szenarien (hier: im HTTP-Protokoll Stack) erhöhen soll. Siehe MSKB-Artikel KB970430
Aktuell: ja
direkter Download oder über Windows/Microsoft Update.
Setzt voraus:
Optionales, empfohlenes Update KB968389
Enthält:
http.sys (5.1.2600.5891 - 20.10.2009)
httpapi.dll (5.1.2600.5891 - 21.10.2009)
strmfilt.dll (6.0.2600.5891 - 21.10.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB970430.
Anmerkung:
Dieses Update setzt die Reihe fort, die mit dem optionales, empfohlenen Update KB968389 zur Stärkung der Sicherheit der Anmeldeinformationen begonnen wurde. Siehe hierzu auch Security Advisory bzw. Sicherheitsempfehlung 974926 (englisch bzw. deutsch).
Zur Aktivierung der zusätzlichen Sicherheitsfunktionen ist ein manueller Eingriff in die Registry erforderlich - siehe hierzu auch Artikel zu KB968389.
Optionales aber empfohlenes Update, das die Sicherheit von Authentifizierungsinformationen in bestimmten Szenarien (hier: im HTTP-Protokoll Stack) erhöhen soll. Siehe MSKB-Artikel KB970430
Aktuell: ja
direkter Download oder über Windows/Microsoft Update.
Setzt voraus:
Optionales, empfohlenes Update KB968389
Enthält:
http.sys (5.1.2600.5891 - 20.10.2009)
httpapi.dll (5.1.2600.5891 - 21.10.2009)
strmfilt.dll (6.0.2600.5891 - 21.10.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB970430.
Anmerkung:
Dieses Update setzt die Reihe fort, die mit dem optionales, empfohlenen Update KB968389 zur Stärkung der Sicherheit der Anmeldeinformationen begonnen wurde. Siehe hierzu auch Security Advisory bzw. Sicherheitsempfehlung 974926 (englisch bzw. deutsch).
Zur Aktivierung der zusätzlichen Sicherheitsfunktionen ist ein manueller Eingriff in die Registry erforderlich - siehe hierzu auch Artikel zu KB968389.
955759 - Empfohlenes Update zur Problembehebung im Indeo-Codec - 08.12.09
Kurzbeschreibung:
Optionales, aber empfohlenes Update, das Probleme im Indeo-Codec beheben soll, durch die potenziell eine Sicherheitsproblem entstehen kann. Siehe MSKB-Artikel KB955759 sowie Security Advisory bzw. Sicherheitsempfehlung 954157 (englisch bzw. deutsch).
Aktuell: ja
direkter Download oder über Windows/Microsoft Update.
Enthält:
aclayers.dll (5.1.2600.5906 - 21.11.2009)
sysmain.sdb ( - 21.11.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB955759.
Optionales, aber empfohlenes Update, das Probleme im Indeo-Codec beheben soll, durch die potenziell eine Sicherheitsproblem entstehen kann. Siehe MSKB-Artikel KB955759 sowie Security Advisory bzw. Sicherheitsempfehlung 954157 (englisch bzw. deutsch).
Aktuell: ja
direkter Download oder über Windows/Microsoft Update.
Enthält:
aclayers.dll (5.1.2600.5906 - 21.11.2009)
sysmain.sdb ( - 21.11.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB955759.
Dienstag, 24. November 2009
973687 - Fehlerkorrektur für MSXML3 und MSXML6 unter Windows XP SP3 - 24.11.09
Kurzbeschreibung:
Optionales Update für die in Windows XP SP3 enthaltenen Microsoft XML-Basisdienste (MSXML3 und MSXML6), welches überflüssige HTTP-Anfragen reduzieren soll, die unter bestimmten Umständen in Anwendungen auftreten können, welche auf MSXML3 oder MSXML6 zurückgreifen. Siehe MSKB-Artikel KB973687.
Aktuell: ja
direkter Download - oder über Windows Update.
Ersetzt/Ergänzt:
Sicherheitsupdate KB955069 (MS08-069) und Sicherheitsupdate KB954459 (MS08-069).
Enthält:
msxml3.dll (8.100.1051.0 - 31.07.2009)
msxml6.dll (6.20.1103.0 - 31.07.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB973686.
Optionales Update für die in Windows XP SP3 enthaltenen Microsoft XML-Basisdienste (MSXML3 und MSXML6), welches überflüssige HTTP-Anfragen reduzieren soll, die unter bestimmten Umständen in Anwendungen auftreten können, welche auf MSXML3 oder MSXML6 zurückgreifen. Siehe MSKB-Artikel KB973687.
Aktuell: ja
direkter Download - oder über Windows Update.
Ersetzt/Ergänzt:
Sicherheitsupdate KB955069 (MS08-069) und Sicherheitsupdate KB954459 (MS08-069).
Enthält:
msxml3.dll (8.100.1051.0 - 31.07.2009)
msxml6.dll (6.20.1103.0 - 31.07.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB973686.
973685 - Fehlerkorrektur für optionales MSXML 4.0 SP3 - 24.11.09
Kurzbeschreibung:
Optionales Update für das optionale MSXML 4.0 SP3, welches überflüssige HTTP-Anfragen reduzieren soll, die unter bestimmten Umständen in Anwendungen auftreten können, welche MSXML 4.0 SP3 nutzen. Siehe MSKB-Artikel KB973685.
Aktuell: ja
direkter Download - wird bei installiertem MSXML 4.0 SP3 auch über Windows Update angeboten.
Ersetzt/Ergänzt:
Optionales MSXML 4.0 SP3.
Enthält:
msxml4.dll (4.30.2107.0 - 20.07.2009)
msxml4r.dll (4.30.2100.0 - 20.07.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB973685.
Anmerkung: Artikel weiterlesen...
Optionales Update für das optionale MSXML 4.0 SP3, welches überflüssige HTTP-Anfragen reduzieren soll, die unter bestimmten Umständen in Anwendungen auftreten können, welche MSXML 4.0 SP3 nutzen. Siehe MSKB-Artikel KB973685.
Aktuell: ja
direkter Download - wird bei installiertem MSXML 4.0 SP3 auch über Windows Update angeboten.
Ersetzt/Ergänzt:
Optionales MSXML 4.0 SP3.
Enthält:
msxml4.dll (4.30.2107.0 - 20.07.2009)
msxml4r.dll (4.30.2100.0 - 20.07.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB973685.
Anmerkung: Artikel weiterlesen...
