Hoax-Info Service | Weblog

16.05.13PermaLink
Sicherheits-Updates auch von Adobe und Mozilla

Lücken in Adobe Reader, Flash Player, Firefox und Thunderbird gestopft

Neben Microsoft haben in dieser Woche auch Adobe und Mozilla umfassende Sicherheits-Updates bereit gestellt. Adobe schließt 27 zum Teil als kritisch eingestufte Sicherheitslücken in Adobe Reader und Acrobat. Außerdem stellt Adobe einen neuen Flash Player bereit, in dem die Entwickler 13 Lücken gestopft haben. Dies zieht auch ein Update für Adobe AIR nach sich, das den Flash Player enthält.
Mozilla hat seinen Web-Browser Firefox und das Mail-Programm Thunderbird turnusmäßig aktualisiert und dabei 15 Schwachstellen behoben. Diese Firefox-Lücken betreffen zum größten Teil auch Thunderbird. Ebenfalls betroffen ist die Web-Suite Seamonkey, für die noch kein Update verfügbar ist.

→neueste Sicherheits-Updates

16.05.13PermaLink
Kritische Updates für Internet Explorer

Microsoft schließt 33 Sicherheitslücken

Bei seinem monatlichen Patch Day hat Microsoft zehn Security Bulletins veröffentlicht, die insgesamt 33 Schwachstellen behandeln. Zwei der Bulletins befassen sich mit 12 Sicherheitslücken im Internet Explorer, die Microsoft als kritisch einstuft. Einerseits gibt es ein kumulatives Sicherheits-Update für alle IE-Versionen (6 bis 10), das 11 Lücken schließt. Andererseits gibt es ein weiteres Update, das eine Sicherheitslücke im Internet Explorer 8 beseitigt, die bereits für Angriffe im Web ausgenutzt wird. Für die übrigen Bulletins weist Microsoft die zweithöchste Risikostufe "hoch" aus. Windows 8, RT und Server 2012 sind anfällig für DoS-Angriffe via HTTP. Eine Lücke in der Kommunikations-Software Lync ermöglicht es einem Angreifer eingeschleusten Code auszuführen. Drei Bulletins befassen sich mit Office-Lücken – betroffen sind Publisher, Word und Visio. Im Modul Writer der Windows Essentials 2001 und 2012 steckt ein Datenleck. Ein Update stellt Microsoft jedoch nur für die Version 2012 bereit, Nutzer der Version 2011 sollen auf die neuere Version umsteigen. Schwachstellen in Kernelmodustreibern aller Windows-Versionen können ausgenutzt werden, um sich höhere Berechtigungen zu verschaffen.
Die Security Bulletins im Überblick (Risikostufe lt. Microsoft): 

Ausnutzbarkeitsindex (Abb.)
→Microsoft Download- und Info-Links | →neueste Sicherheits-Updates
Microsoft Security Bulletin Zusammenfassung für Mai 2013 (dt./engl.)

10.05.13PermaLink
Microsoft Patch Day Mai voraus

Microsoft kündigt zehn Security Bulletins an

Für den Update-Dienstag am 14. Mai hat Microsoft zehn Security Bulletins angekündigt, die insgesamt 33 Sicherheitslücken behandeln sollen. Zwei Bulletins sollen sich mit als kritisch eingestuften Schwachstellen in Windows sowie in Internet Explorer befassen. Für den Internet Explorer wird es wieder ein kumulatives Sicherheits-Update geben. Microsoft arbeitet daran auch die kürzlich bekannt gewordene →Lücke im IE 8 mit diesem Update zu schließen. Die übrigen acht Bulletins tragen die Risikoeinstufung "hoch", die zweithöchste Stufe. Drei der Bulletins sollen Lücken in Office behandelt, namentlich in Publisher, im kostenlosen Word Viewer und in Visio. Hinzu kommen Schwachstellen in Windows Essentials sowie in Lync.

Microsoft Security Bulletin Advance Notification for May 2013 (engl.)

10.05.13PermaLink
Fix-it Tool für IE8-Lücke

Microsoft stellt Interimslösung für Internet Explorer 8 bereit

Im Internet Explorer 8 steckt eine →als kritisch einzustufende Sicherheitslücke, für die bereits Exploit-Code öffentlich verfügbar ist. Es gibt auch bereits Angriffe im Web, die diese Lücke ausnutzen, um Malware einzuschleusen. Microsoft hat inzwischen ein so genanntes Fix-it Tool bereit gestellt, das die Ausnutzung dieser Schwachstelle verhindern soll. Andere Versionen des Internet Explorer sind nicht betroffen. Microsoft strebt an diese Lücke mit dem für den 14. Mai (Patch Day, s.o.) geplanten Sicherheits-Update für den Internet Explorer zu schließen.

Microsoft: KB 2847140 - Fix-it 50992 (engl.)

04.05.13PermaLink
Kritische Lücke im Internet Explorer 8

Infektion des Rechners beim Aufruf einer Web-Seite möglich

Microsoft warnt in einer Sicherheitsmitteilung vor einer Schwachstelle im Internet Explorer, Version 8. Die Sicherheitslücke ermöglicht es demnach einem Angreifer beliebigen Code einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen. Er könnte damit etwa Malware einschleusen und die Kontrolle über den Rechner erlangen. Dazu genügt es, wenn potenzielle Opfer dazu gebracht werden eine speziell präparierte Web-Seite aufzurufen. Dies kann etwa dadurch erfolgen, dass ein Angreifer einen Link per Mail oder Instant Messenger sendet. Auch Links in sozialen Netzwerken oder anderen Web-Seiten können diesem Zweck dienen. Informationen über die Ausnutzung dieser Schwachstelle sind laut Microsoft öffentlich verfügbar. Es gibt bereits Angriffe im Web, die diese Lücke ausnutzen.
Nach Angaben Microsofts ist nur der Internet Explorer 8 (IE 8) betroffen – IE 6, 7, 9 und 10 sollen nicht anfällig sein. Der IE 8 ist die neueste IE-Version, die für Windows XP erhältlich ist. Für neuere Windows-Versionen ist daher der Wechsel zum IE 9 (ab Vista) oder IE 10 (ab Windows 7) ratsam. Microsoft empfiehlt die Sicherheitseinstellungen im IE 8 auf "hoch" einzustellen. Damit werden ActiveX und Javascript (Active Scripting) deaktiviert. Außerdem empfiehlt Microsoft die Verwendung seines Programms EMET (Enhanced Mitigation Experience Toolkit), um Angreifern die Ausnutzung der Sicherheitslücke zu erschweren.
Da die Deaktivierung aktiver Inhalte etliche beliebte Websites praktisch unbenutzbar machen würde, sei der Wechsel zu einem anderen Browser, etwa Firefox, Chrome oder Opera empfohlen – und sei es nur bis zur Bereitstellung eines Sicherheits-Updates durch Microsoft. Vermutlich wird Microsoft in den nächsten Tagen eine Interimslösung anbieten, ein so genanntes "Fix-it Tool".

Microsoft: Security Advisory 2847140 (engl.) | EMET Download || →alternative Web-Browser

09.04.13PermaLink
Sicherheits-Update für Internet Explorer

Microsoft Patch Day mit neun Security Bulletins