(am) - Nächste Woche steht der Microsoft Patch Day an. Der Redmonder Konzern wird insgesamt 13 Updates bringen, acht davon kümmern sich um kritische Lücken. Auch das diesen Monat erscheinende Windows 7 erhält fünf Patches.
Vor den monatlichen Patch Days gibt Microsoft bekannt, wie viele Updates zu erwarten sind, wie kritisch die geschlossenen Sicherheitslücken eingestuft werden und welche Systeme betroffen sind. Für den Oktober gibt es insgesamt 13 Bulletins, für Software-Updates erscheinen werden.
Betroffen sind nahezu alle Produkte von Microsoft. Allein in den Windows Betriebssystemen werden fünf kritische Lücken geschlossen, die das Ausführen von Code erlauben. Außerdem wird es Updates für den Internet Explorer, Microsoft Office, Silverlight, den SQL Server, die Developer Tools und die Sicherheitslösung Forefront geben.
Details zu den einzelnen Lücken gibt Microsoft wie gewohnt erst mit den Updates bekannt, jeden zweiten Dienstag im Monat. Ausschlaggebend ist dabei die US-Zeitzone, in Europa sind die Updates daher erst gegen Abend verfügbar.
Quelle: TEC Channel
(am) - Sie erscheint heute im Lauf des Tages. Microsoft bietet die kostenlose Software in acht Sprachen und 19 Ländern an. Security Essentials unterstützt die 32- und 64-Bit-Versionen von Windows XP, Vista und 7.
Microsoft hat die finale Version seiner Sicherheitssoftware Security Essentials (MSE) angekündigt. Das kostenlose Programm wird das Unternehmen heute im Lauf des Tages zum Download bereitstellen.
Die Software ist in acht Sprachen und 19 Ländern erhältlich, darunter Belgien, Deutschland, Frankreich, Irland, Italien, Österreich, der Schweiz und Spanien. Security Essentials unterstützt die 32- und 64-Bit-Versionen von Windows XP (ab Service Pack 2), Vista und 7 sowie den XP-Modus des neuen Microsoft-Betriebssystems.
“Verbraucher wollen den Echtzeit-Schutz einer Sicherheitssoftware, aber viele sind nicht in der Lage oder nicht bereit, dafür zu bezahlen, und bleiben daher ungeschützt”, erklärt Amy Barzdukas, General Manager der Consumer-Security-Sparte von Microsoft. Nach Unternehmensangaben ist für die Nutzung von Security Essentials keine Registrierung erforderlich.
Weiterlesen
(jp) – Das Browser-Plug-in soll die Angriffsfläche für Malware und schädliche Skripte erhöhen. Daher rät Microsoft von der Nutzung ab. Die Erweiterung ermöglicht die Ausführung des Google Browsers im Internet Explorer.
Microsoft hat vor der Nutzung der kürzlich vorgestellten Internet-Explorer-Erweiterung “Chrome Frame” gewarnt, die die Ausführung des Google-Browsers im Internet Explorer ermöglicht. Nach Ansicht des Softwareanbieters stellt das Plug-in ein mögliches Sicherheitsrisiko dar.
“Mit Internet Explorer 8 haben wir erhebliche Fortschritte gemacht, damit der Browser für unsere Kunden sicherer wird”, heißt es in einer Stellungnahme von Microsoft. “Angesichts der Sicherheitsprobleme von Plug-ins im Allgemeinen und von Google Chrome im Besonderen verdoppelt das Plug-in die Angriffsfläche für Malware und schädliche Skripte. Wir können nicht empfehlen, dieses Risiko einzugehen.”
Weiterlesen
(jp) – Microsoft hat noch immer nicht zu einer Schwachstelle beim Umgang mit SSL-Zertifikaten Stellung genommen, die laut Apple evident sein soll. Andere Browser-Hersteller haben ihre Produkte bereits korrigiert.
Auf der Sicherheitskonferenz Black Hat Ende Juli in Las Vegas hat der Sicherheitsforscher Dan Kaminsky eine Sicherheitslücke beim Umgang mit SSL-Zertifikaten demonstriert. Sie betrifft mehrere Browser sowie andere Internet-Programme etlicher Hersteller. Die meisten Browser-Hersteller haben bereits reagiert und neue Versionen bereit gestellt, um den Fehler zu beseitigen. Nur Microsoft zögert noch.
Mozilla hat die Schwachstellen schon Anfang August mit Firefox 3.5.2 und 3.0.13 beseitigt, inzwischen auch bei Thunderbird 2.0.0.23. Aktuelle Versionen von Opera und Google Chrome sind nicht mehr dafür anfällig. Apple hat Safari für Mac OS X bereits korrigiert, Safari für Windows ist hingegen noch anfällig. Apple setzt bei bestimmten Funktionen auf Microsoft-Code auf, der zu Windows oder dem Internet Explorer gehört. Diese Programmteile sollen laut Apple ebenfalls für die von Kaminsky demonstrierte SSL-Schwäche anfällig sein.
Weiterlesen
(jp) – Microsoft hat ein „1-Click-Workaround“ für die vor zwei Wochen entdeckte Sicherheitslücke in der Implementierung des SMB2-Protokolls für Windows Vista und Windows Server 2008 veröffentlicht.
Microsoft bietet zwei Versionen des “1-Click-Workaround” an. Mit der einen Vorab-Lösung lässt sich das SMB2-Protokoll deaktivieren. Mit der zweiten kann das SMB2-Protokoll wieder aktiviert werden. Der Fehler soll im srv2.sys-Treiber liegen.
Schon vor etwa zwei Wochen wurde die Sicherheitslücke bekannt. Anfangs ging Microsoft davon aus, dass über die Lücke der Rechner lediglich zum Neustart gezwungen werden können. Ende letzter Woche wurde jedoch ein Exploit veröffentlicht, mit dem Hacker beliebigen Schadcode einschleusen können und damit die komplette Kontrolle über die kompromittierten Rechner erlangen können.
Quelle: TEC Channel
(ag) - Vor kurzer Zeit wurde eine 0-Day-Schwachstelle in einigen Microsoft-Produkten gemeldet. Zunächst wurde angenommen, dass sich damit einen System zum Absturz zwingen lässt.
Mit dem nun veröffentlichten Code soll allerdings auch Zugriff auf betroffenen Maschinen möglich sein. Eine bekannte Sicherheitsfirma hat ein Modul in ihre Sicherheits-Software eingefügt, der diese Schwachstelle ausnutzt. Somit könnte jeder, der die Software bedienen kann, Zugriff auf betroffene Systeme ergaunern. Der Exploit ließe sich nun auch theoretisch als Wurm einsetzen. Windows Vista und Server 2008 sind von der Schwachstelle betroffen, TecChannel berichtete.
Die finale Version von Windows 7 ist nicht betroffen. Der Release-Kandidat ist allerdings anfällig. Administratoren sollten einen Blick auf diese Seite werfen. Dort listet Microsoft alle betroffenen und nicht betroffenen Systeme auf. Ebenso stellt der Software-Hersteller Workarounds zur Verfügung. Vista-Anwender könnten mittels einer Firewall die Ports 139 und 445 blockieren. Dies tut das Betriebssystem normalerweise automatisch, wenn das Netzwerk-Lokation auf „öffentlich“ gesetzt ist. Ebenso könnten Administratoren SMB2 deaktivieren, bis ein Update verfügbar ist. Dieser Schritt hat wahrscheinlich Auswirkung auf die Geschwindigkeit, ist jedoch nicht überlebenswichtig.
Quelle: TEC Channel
(ag) - Im Rahmen der Initiative Secure Developement Lifecycle (SDL) hat Microsoft zwei neue Sicherheits-Tools für Entwickler freigegeben. Beide Programme stehen kostenlos als Download bereit.
Mit Secure Development Lifecycle versucht Microsoft seit 2004, die Anzahl von Bugs in der Software zu reduzieren. Dazu hat man intern einen Prozess zur Softwareentwicklung aufgesetzt, der in sieben Stufen den kompletten Entstehungs- und Lebenszyklus eines Softwareprodukts umfasst. Erfolgreiche Strategien werden von Microsoft veröffentlicht und wenn möglich in die Entwicklungsumgebung Visual Studio integriert.
Während es für die SDL-Prozessstufen Design und Implementation etliche Tools gibt, hatte Microsoft für die Verifikation eines fertigen Produkts wenig zu bieten. Das soll sich nun mit den beiden kostenlosen Tools BinScope und MiniFuzz ändern.
Weiterlesen
(jp) - Microsoft hat zwar in der vergangenen Woche, an seinem monatlichem Patchday, fünf als kritisch eingestufte Sicherheitslücken geschlossen, doch wie nun zu erfahren ist, existiert immer noch eine als kritisch einzustufende Schwachstelle.
Die immer noch nicht geschlossene Sicherheitslücke gibt Angreifern die Möglichkeit Kontrolle über betroffene Systeme zu erhalten.Microsoft hat zwar in der vergangenen Woche, an seinem monatlichem Patchday, fünf als kritisch eingestufte Sicherheitslücken geschlossen, doch wie nun zu erfahren ist, existiert immer noch eine als kritisch einzustufende Schwachstelle. Die immer noch nicht geschlossene Sicherheitslücke gibt Angreifern die Möglichkeit Kontrolle über betroffene Systeme zu erhalten.
Weiterlesen
(am) - Sie bestehen in JScript, Windows TCP/IP, Windows Media Format, DHTML und im WLAN-Autokonfigurationsdienst. Microsoft stuft die Schwachstellen als kritisch ein. Die Lücke in Windows Media Format ist besonders gefährlich.
Microsoft hat an seinem monatlichen Patchday fünf Sicherheitsupdates veröffentlicht. Die Fixes stopfen acht als kritisch eingestufte Löcher in unterschiedlichen Versionen von Windows. Laut Microsoft sind die Finals von Windows 7 und Windows Server 2008 R2 nicht betroffen.
Drei der Fehler bestehen im Skriptmodul JScript (MS09-045) und in Windows Media Format (MS09-047) unter Windows 2000, Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008. Das Update MS09-046 schließt eine Lücke im ActiveX-Steuerelement der DHTML-Bearbeitungskomponente unter Windows 2000, Windows XP und Windows Server 2003, während der Patch MS09-048 drei Lücken in Windows TCP/IP unter Windows 2000, Server 2003, Vista und Server 2008 adressiert. Die fünfte Aktualisierung (MS09-049) behebt eine Sicherheitsanfälligkeit im WLAN-Autokonfigurationsdienst unter Windows Vista und Server 2008.
Weiterlesen
(am) – Durch einen Fehler im SMB2-Protokoll lassen sich Systeme mit Windows Vista und Windows 7 zum Absturz bringen.
Wie das Internet Storm Center meldet, lassen sich Windows-Systeme über das Netzwerk zu Absturz bringen. Ursache ist ein Fehler im Protokoll SMB2, für den gestern ein Proof-of-Concept veröffentlicht wurde. Dieser funktioniert den Sicherheitsexperten zufolge unter Windows Vista, Windows 7 und Windows Server 2003. Eine Authentifizierung am System ist nicht notwenig, es reicht, wenn Port 445 erreichbar ist, um ein manipuliertes Paket zu schicken, dass dann einen Bluescreen hervorruft.
Das ISC empfiehlt daher, den Port in der Firewall zu schließen, um Angriffe zu verhindern.
Quelle: PC Professionell
