Schlagwort "microsoft"

(am) – Microsoft will im Lauf des heutigen Tages einen Patch für eine kritische Schwachstelle in seinem Browser Internet Explorer bereitstellen. Wahrscheinlich schließt er die Ende Dezember bekannt gewordene Zero-Day-Lücke in den IE-Versionen 6, 7 und 8. Da Microsoft in seiner Ankündigung nicht auf die Details des außerplanmäßigen Updates eingeht, könnte es aber auch eine andere Schwachstelle beseitigen.

Die im Dezember aufgedeckte Lücke betrifft nur Nutzer älterer Versionen des Internet Explorers, die sich vor allem in Firmen finden. Wer Internet Explorer 9 oder 10 verwendet, ist in dem Fall auf der sicheren Seite.

Microsoft empfiehlt Anwendern, den Patch sofort einzuspielen. Laut Sophos-Mitarbeiter Paul Ducklin verbreiten bereits mehrere Websites Malware, die die Zero-Day-Lücke mit einer geschickten Kombination aus HTML, JavaScript und Flash ausnutzen. Daher sollten betroffene Anwender ihr System schnellstmöglich aktualisieren.

Weiterlesen

(am) – Microsoft hat einen Termin für das Ende seines Windows Live Messenger genannt: Es ist der 15. März. Nutzer müssen dann zu Microsofts Angebot Skype wechseln – oder zur Konkurrenz. Nur in China läuft Windows Live Messenger vorerst weiter. Dass Windows Live Messenger in diesem Frühjahr ausläuft, ist seit November bekannt.

Geschäftsanwender können weiterhin Microsoft Lync nutzen. Doch auch hier dürfte Microsoft auf lange Sicht eine Verschmelzung mit Skype anstreben. In einem Blogeintrag schrieb Windows-Live-Chef Brian Hall im November: “Skype wird besser mit Outlook.com zusammenarbeiten, als es der Messenger je konnte.”

Sobald sich Messenger-Nutzer mit ihren Microsoft-Zugangsdaten bei Skype anmelden, werden ihre Messenger-Kontakte automatisch in Skype integriert. Anschließend können sie darüber mit ihnen chatten sowie Video- und Telefongespräche führen. Als weitere Vorteile von Skype gegenüber dem Messenger nennt Microsoft Gruppenvideogespräche, Bildschirmfreigabe und breitere Unterstützung verschiedener Geräte, darunter Apples iPad oder Android-Tablets.

Weiterlesen

(am) – Microsoft hat wie angekündigt sieben Sicherheitsupdates veröffentlicht, die insgesamt zwölf Anfälligkeiten in seinen Produkten beseitigen. Die höchste Priorität räumt das Unternehmen zwei Patches ein, die drei als “kritisch” eingestufte Schwachstellen in Windows XP, Server 2003, Vista, Server 2008, 7, Server 2008 R2, 8, Server 2012 und Windows RT schließen. Die Fehler stecken in der Windows-Druckwarteschlange sowie den XML Core Services.

Letztere könnte ein Angreifer mithilfe einer speziell gestalteten Website missbrauchen. Er müsste sein Opfer allerdings dazu bewegen, die Seite im Internet Explorer anzuzeigen. Anschließend wäre er in der Lage, Schadcode einzuschleusen und auszuführen.

Weitere Sicherheitsanfälligkeiten bestehen in System Center Operations Manager 2007, .NET Framework 1, 1.1, 2.0, 3.0, 3.5, 3.5.1, 4 und 4.5 sowie den Windows-Kernelmodustreibern. Ein Angreifer könnte sich darüber erhöhte Rechte verschaffen. Außerdem erlaubt ein Loch im Open Data Protocol Denial-of-Service-Angriffe. Eine weitere Lücke in Windows Vista, Server 2008, 7, Server 2008 R2, 8, Server 2012 und Windows RT lässt sich missbrauchen, um Sicherheitsfunktionen zu umgehen.

Weiterlesen

(am) – Sophos hat weitere Websites entdeckt, die Exploits für die Ende Dezember aufgetauchte Zero-Day-Lücke in Internet Explorer 6, 7 und 8 enthalten. Betroffen sind die Seite einer iranischen Ölfirma, die noch immer den Schadcode hostet, sowie eine Website, die sich an die Ethnie der Uiguren in Ost-Turkestan richtet.

Symantec will dagegen die Hintermänner der Angriffe identifiziert haben. Nach Erkenntnissen des Sicherheitsunternehmens handelt es sich um die Hacker des “Elderwood Project”, die 2009 auch für die gegen Google gerichtete “Operation Aurora” verantwortlich waren.

Das Elderwood Project habe scheinbar Zugriff auf “eine unbegrenzte Zahl von Zero-Day-Schwachstellen”, schreibt Symantec in einem Blogeintrag. Es wäre keine Überraschung, falls es den Hacker auch schon gelungen sei, Microsofts Fix-it-Tool für die IE-Lücke zu umgehen. Dass das möglich ist, bewies Ende vergangener Woche das Sicherheits-Start-up Exodus Intelligence.

Weiterlesen

(am) – Sicherheitsforschern ist es gelungen, ein vor Kurzem von Microsoft veröffentlichtes Fix-it-Tool für eine Zero-Day-Lücke in Internet Explorer zu umgehen. Der Softwarekonzern hatte das Werkzeug an Silvester bereitgestellt, um Nutzern eine Möglichkeit zu geben, sich vor den Folgen eines Angriffs auf die Schwachstelle zu schützen.

Laut Aaron Portnoy, Vice President und Gründer des Sicherheitsunternehmens Exodus Intelligence, dauerte es weniger als einen Tag, um das Fix-it-Tool zu umgehen und einen entsprechenden Exploit für die Anfälligkeit zu entwickeln. “Für unseren hauseigenen Experten Peter Vreugdenhil war es recht einfach”, sagte Portnoy im Gespräch mit TechWeekEurope. “Es ist sehr dringend, dass Microsoft den Fehler behebt, da er aktiv ausgenutzt wird, Exploits über Metasploit öffentlich verfügbar sind und wir festgestellt haben, dass ihr Fix-it-Tool nicht funktioniert.”

Exodus halte alle Details zurück, bis Microsoft einen offiziellen Patch herausgebracht habe, ergänzte Portnoy. “Es ist wahrscheinlich, dass diese Variation in Metasploit auftaucht, sobald wir die Informationen freigegeben haben.” Möglicherweise werde aber auch ein Dritter unabhängig herausfinden, wie das Fix-it-Tool ausgeschaltet werden könne, da die Möglichkeit an sich jetzt bekannt sei.

Weiterlesen

(am) – Microsoft will am ersten Patchday des neuen Jahres mehrere als “kritisch” eingestufte Sicherheitslücken in Windows schließen. Einer Vorabmeldung zufolge sind davon Windows XP, Server 2003, Vista, Server 2008, 7, Server 2008 R2, 8, Server 2012 und auch Windows RT betroffen. Eines der kritischen Löcher steckt zugleich in Office 2003 und 2007, Expression Web und Expression Web 2 sowie SharePoint Server 2007 und Groove Server 2007.

Insgesamt bringt der kommende Dienstag sieben Updates, die zwölf Anfälligkeiten beseitigen sollen. Fünf Patches stopfen Löcher, deren Risiko Microsoft als “hoch” einstuft. Außer den schon genannten Produkten sind auch .NET Framework und System Center Operations Manager 2007 anfällig.

Die Schwachstellen ermöglichen Remote-Code-Ausführung und das Umgehen von Sicherheitsfunktionen. Eine Lücke in .NET Framework lässt sich auch für Denial-of-Service-Angriffe missbrauchen. Mindestens drei Updates erfordern einen Neustart des gepatchten Systems.

Weiterlesen

(am) – Microsoft hat ein Fix-it-Tool für eine am Wochenende bekannt gewordene Sicherheitslücke in Internet Explorer bereitgestellt. Es soll Nutzer vor den Folgen eines Angriffs auf die Schwachstelle in den Browserversionen 6, 7 und 8 schützen. Ein Patch, der die Anfälligkeit beseitigt, ist weiterhin in Arbeit.

Am Samstag hatte der Softwarekonzern das Loch in seinem Browser bestätigt. Ein Hacker könne beispielsweise mithilfe eines Links in einer E-Mail ein Opfer auf eine manipulierte Website locken und anschließend Schadcode auf ein betroffenes System einschleusen und ausführen, warnt Microsoft in einem Advisory. Internet Explorer 9 und 10 sind von dem Fehler nicht betroffen.

Das Fix-it-Tool verhindert, dass die Schwachstelle ausgenutzt werden kann. Die Browsernutzung soll nach Unternehmensangaben dadurch nicht beeinträchtigt werden. Ein Neustart sei nach der Installation der Behelfslösung nicht erforderlich.

Weiterlesen

(am) – Eine Attacke auf eine US-Website hat eine bisher unbekannte Sicherheitslücke im Internet Explorer aufgedeckt. Angreifer können damit Schadcode auf den PC des Websurfers einschleusen. Microsoft arbeitet an einem Sicherheits-Update.

Hacker arbeiten offenbar auch an Weihnachten. Über die Weihnachtsfeiertage jedenfalls ist eine bislang unbekannte Sicherheitslücke im Internet Explorer bekannt geworden. Diese ist auch bereits durch eine konkrete Zero-Day-Attacke auf eine Website ausgenutzt worden.

Herausgefunden haben das die Spezialisten des US-amerikanischen Sicherheitsanbieters Fire Eye. Sie haben die attackierte Website analysiert. Sie fanden dabei einen Exploit, der eine Sicherheitslücke im Internet Explorer nutzt. Wenn ein Besucher die kompromittierte Webseite mit dem Internet Explorer besucht, wird mit Hilfe von Adobe Flash Malware über den IE auf dessen PC geschleust. Das Problem betrifft allerdings nur die IE-Versionen 6 bis 8. Laut Microsoft sind die Versionen 9 und 10 nicht gefährdet.

Weiterlesen

(am) – Microsoft hat den am 11. Dezember veröffentlichten Patch für in Dokumente eingebettete OpenType-Schriftartdateien noch einmal korrigiert. Die erste Korrektur machte solche Schriftarten auf manchen Systemen in PowerPoint, Coreldraw und Quark Xpress unlesbar.

Diese Programme konnten nach Einspielen der Sicherheitskorrektur OpenType-Buchstaben nicht größer als in 15-Punkt wiedergeben. Der zuständige Microsoft-Manager Dustin Childs bestätigt dies indirekt: “Wir haben das Sicherheitsupdate MS12-078 erneut veröffentlicht, um ein Problem mit bestimmten Schriftarten zu korrigieren.”

Nutzer mit aktivierten automatischen Updates erhalten die revidierte Version von selbst. Allen anderen empfiehlt Microsoft, sie so bald wie möglich herunterzuladen und zu installieren.

Weiterlesen

(am) – Offenbar ist Microsoft am vergangenen Patch-Day ein Fehler in einem der Windows-Updates unterlaufen. Seit der Aktualisierung können einige Programme keine OpenType-Schriftarten mehr anzeigen.

Am letzten Patch-Day des Jahres 2012 hat Microsoft auch eine Sicherheitslücke in dem Treiber geschlossen, der für die Darstellung der OpenType-Schriften zuständig ist. Angreifer konnten die Lücke ausnutzen, um über präparierte TrueType- beziehungsweise OpenType-Schriftarten in Dokumenten oder auf Webseiten Schadcode einzuschleusen und ausführen.

Doch nach Installierung des Sicherheits-Updates KB2753842 stehen viele Nutzer vor einem Problem: Anwendungen wie CorelDRAW, QuarkXpress und PowerPoint sind nicht mehr in der Lage, PostScript Type 1 (PFB) und OpenType-Schriften darzustellen. Das Phänomen tritt unter Windows 7 und Windows 8 auf.

Weiterlesen