NickTheGreat
Gesperrt
Microsoft-Patchday: Alles neu macht der Oktober
Kaum ein Microsoft-System bleibt am Oktober-Patchday verschont: Insgesamt 34 Sicherheitslücken beheben die Redmonder mit 13 Update-Paketen. Für jede unterstützte Windows-Version von Windows 2000 bis Windows 7 einschließlich der Server-Versionen, Internet Explorer 5.01 bis 8, den Media Player und seine Runtime-Komponente, Office XP, 2003 und 2007, die .NET-Laufzeitumgebung 1.0 bis 2.0, SQL-Server 2000 und 2005, Visual Studio 2003, 2005 und 2008, Visual FoxPro, Report Viewer 2005 und 2008, Forefront, sowie Silverlight 2 (auch auf Macs) ist etwas dabei. Die Mehrzahl der Updates trägt die Einstufung "kritisch" und behebt Sicherheitsprobleme, die es Angreifern ermöglichen, aus der Ferne beliebigen Schadcode einzuschleusen, um verwundbare Systeme unter ihre Kontrolle zu bringen.
Erstmalig versorgt Microsoft auch Windows 7, das vielerorts bereits im Produktiveinsatz ist, mit Updates. Mit Blick auf die Vorankündigung zum Oktober-Patchday gibt es keine Überraschungen zu vermelden. Insbesondere der heiß erwartete Patch für die kritische Lücke in der SMB2-Implementierung des Windows-Netzwerkprotokolls ist nun endlich verfügbar. Dafür zirkulieren bereits seit mehreren Wochen funktionstüchtige Exploits im Netz. Auch die lange bekannten FTP-Lücken sind mit den Oktober-Patches nun Geschichte.
Das kumulative Update für alle Internet-Explorer-Versionen schließt gleich drei Sicherheitslücken, die das Einschleusen von Schadcode übers Netz ermöglichen. Für das verwundbare ATL-COM-ActiveX haben die Redmonder nun das Kill-Bit gesetzt.
Zwei wichtige Patches erhält auch die CryptoAPI aller Windows-Versionen. Angreifer können der auch in vielen Windows-Programmen verwendeten Verschlüsselungsbibliothek mit Hilfe von Nullzeichen oder manipulierten ASN.1-Strings gefälschte SSL-Zertifikate für fremde Domains unterschieben und so gesichert übertragene Netzwerkdaten unter Umständen ausspähen oder manipulieren. Zu diesem Problem ist erst vor kurzem ein für paypal.com funktionierendes Trick-Zertifikat veröffentlicht worden.
Auch das Malicious Software Removal Tool hat sein allmonatliches Update bekommen und erkennt nun mehr Schädlinge. Angesichts der schier unüberschaubaren Zahl von Patches und betroffenen Komponenten bleibt nur der Rat, die Patches möglichst zeitnah über das Microsoft- oder Windows-Update einspielen zu lassen. Einen detaillierte Auflistung der einzelnen Schwachstellen sowie der jeweils davon betroffenen Komponenten findet sich in der Patchday-Zusammenfassung sowie den einzelnen Bulletins von Microsoft.
Ich meinen schon
Kaum ein Microsoft-System bleibt am Oktober-Patchday verschont: Insgesamt 34 Sicherheitslücken beheben die Redmonder mit 13 Update-Paketen. Für jede unterstützte Windows-Version von Windows 2000 bis Windows 7 einschließlich der Server-Versionen, Internet Explorer 5.01 bis 8, den Media Player und seine Runtime-Komponente, Office XP, 2003 und 2007, die .NET-Laufzeitumgebung 1.0 bis 2.0, SQL-Server 2000 und 2005, Visual Studio 2003, 2005 und 2008, Visual FoxPro, Report Viewer 2005 und 2008, Forefront, sowie Silverlight 2 (auch auf Macs) ist etwas dabei. Die Mehrzahl der Updates trägt die Einstufung "kritisch" und behebt Sicherheitsprobleme, die es Angreifern ermöglichen, aus der Ferne beliebigen Schadcode einzuschleusen, um verwundbare Systeme unter ihre Kontrolle zu bringen.
Erstmalig versorgt Microsoft auch Windows 7, das vielerorts bereits im Produktiveinsatz ist, mit Updates. Mit Blick auf die Vorankündigung zum Oktober-Patchday gibt es keine Überraschungen zu vermelden. Insbesondere der heiß erwartete Patch für die kritische Lücke in der SMB2-Implementierung des Windows-Netzwerkprotokolls ist nun endlich verfügbar. Dafür zirkulieren bereits seit mehreren Wochen funktionstüchtige Exploits im Netz. Auch die lange bekannten FTP-Lücken sind mit den Oktober-Patches nun Geschichte.
Das kumulative Update für alle Internet-Explorer-Versionen schließt gleich drei Sicherheitslücken, die das Einschleusen von Schadcode übers Netz ermöglichen. Für das verwundbare ATL-COM-ActiveX haben die Redmonder nun das Kill-Bit gesetzt.
Zwei wichtige Patches erhält auch die CryptoAPI aller Windows-Versionen. Angreifer können der auch in vielen Windows-Programmen verwendeten Verschlüsselungsbibliothek mit Hilfe von Nullzeichen oder manipulierten ASN.1-Strings gefälschte SSL-Zertifikate für fremde Domains unterschieben und so gesichert übertragene Netzwerkdaten unter Umständen ausspähen oder manipulieren. Zu diesem Problem ist erst vor kurzem ein für paypal.com funktionierendes Trick-Zertifikat veröffentlicht worden.
Auch das Malicious Software Removal Tool hat sein allmonatliches Update bekommen und erkennt nun mehr Schädlinge. Angesichts der schier unüberschaubaren Zahl von Patches und betroffenen Komponenten bleibt nur der Rat, die Patches möglichst zeitnah über das Microsoft- oder Windows-Update einspielen zu lassen. Einen detaillierte Auflistung der einzelnen Schwachstellen sowie der jeweils davon betroffenen Komponenten findet sich in der Patchday-Zusammenfassung sowie den einzelnen Bulletins von Microsoft.
Ich meinen schon
