(am) – Sicherheitsexperten haben in der frisch vorgestellten 2010-Version von Office erste Sicherheitslücken entdeckt. Sie betreffen Excel und Word. Abhilfe von Microsoft gibt es noch nicht.
Fachleute der Sicherheitsfirma Vupen haben bereits eine Woche nach Erscheinen des Microsoft-Office-2010-Pakets am 15. Juni 2010 eine Sicherheitslücke in Word entdeckt. Um die Microsoft-Kunden zu schützen, die das Programm verwenden, geben die Entdecker keine Details zur Schwachstelle bekannt, solange Microsoft sie nicht geschlossen hat. Die Experten erwähnen in ihrem Sicherheitshinweis, dass Office 2010 dank verschiedener Neuerungen (etwa der Funktionen zur Dateiprüfung und zur geschützten Ansicht) deutlich sicherer sei als ältere Office-Versionen. Dennoch sei es ihnen gelungen, modifizierte Exploits für Office 2007 auch auf Office 2010 anzuwenden. Damit sei es möglich, durch die Office-Lücken aus dem Internet unerwünschten Programmcode auf einen PC zu laden und auszuführen.
Inzwischen ist auch eine zweite Sicherheitslücke in Office 2010 bekannt geworden. Sie betrifft Excel. Auch in diesem Fall haben die Fachleute keine Details veröffentlicht.
Quelle: com.de
(am) - Neue Varianten sind ab rund 500 Dollar im Internet erhältlich. Kriminelle können damit ein Botnetz aufbauen und weitere Schadprogramme nachinstallieren. Der Trojaner tarnt sich als Word-Systemdatei.
Der russische Sicherheitsexperte Doctor Web hat eine Warnung vor Trojan.Oficla ausgesprochen. Die Verbreitungswelle dieser Schadsoftware habe im März ihren bisherigen Höhepunkt erreicht: Sie befällt zur Zeit mehr als 200.000 PCs pro Woche – auch aufgrund eines einfachen Geschäftsmodells.
Trojan.Oficla, der auch als myLoader bekannt ist, verbreite sich über Spam-Mails und Sicherheitslücken von Webbrowsern, schreiben die Sicherheitsforscher. Der Trojaner infiziere den PC und verstecke sich in dem Prozess winword.exe, wenn Microsoft Word installiert ist. So täusche er zahlreiche Antivirensysteme. Falls jedoch ein Rechner angegriffen werde, auf dem kein Word installiert ist, könne sich Trojan.Oficla in den Systemprozess svchost.exe einschleusen. Anschließend binde er den gekaperten PC in sein Botnetz ein und ermögliche es den Kriminellen, Schadsoftware auf diesen PC zu laden.
Weiterlesen
(am) - Wie aus dem aktuellen Bericht hervorgeht, handelt es sich bei rund 49 Prozent aller gezielten Angriffe um Attacken gegen Adobe Acrobat Reader.
Wie aus der Sektion „Targeted Attacks 2009“ des Berichts hervorgeht, wurden im zweiten Quartal 2009 insgesamt 663 individuelle Dateien mit zielgerichteten Angriffen erfasst. Bei knapp der Hälfte handelte es sich um Angriffe gegen Adobe Acrobat Reader (49%). Weitere Angriffe zielten auf Microsoft Word (39%), Microsoft Excel (7%) und Microsoft PowerPoint (4%) ab. Wie ein Auditing zeigte, ist jeder dritte PC mit Acrobat Reader Software anfällig gegen die aktuellen Angriffe.
Um dieser Entwicklung entgegen zu wirken, erhöhte Adobe die Frequenz seiner Sicherheitsupdates auf drei Monate (ein Quartal). Die Updates sollen zeitgleich zum Microsoft Patchday stattfinden. Weitere Themen im Threat Report Q2/2009: Bemühungen und Initiativen der US-Regierung zur Sicherheit im Cyberspace, Chinas „Green Dam Youth Escort“ Software, der Conflicker Wurm und vieles mehr.
Quelle: TEC Channel
(jp) – Am heutigen “Patch Day” will Microsoft insgesamt 10 Sicherheits-Updates zur Verfügung stellen, darunter 6 für Windows, 3 für Office und eines für den Internet Explorer. Der erwartete Patch für DirectX wird hingegen noch nicht dabei sein.
Allein 6 Sicherheitslücken im Windows-Betriebssystem will Microsoft am heutigen Dienstag dicht machen, darunter zwei als kritisch und drei als wichtig eingestufte. Dazu kommen ein kritisches Update für den Internet Explorer und ebenfalls als kritisch bezeichnete Patches jeweils für Word, Excel sowie Office allgemein.
Der Patch für den vor kurzem beschriebenen Fehler in der DirectX-Komponente Directshow sei hingegen noch nicht reif zur Veröffentlichung, teilen die Entwickler mit, und fordern noch einmal dazu auf, vorläufig die per “Fix it” verfügbare Lösung anzuwenden.
Quelle: com.de
(am) - Sie betreffen Windows, Word, Excel, Office und den Internet Explorer. Sechs Patches stopfen als kritisch eingestufte Sicherheitslücken. Das im Mai veröffentlichte Powerpoint-Update stellt Microsoft auch für Mac OS X zur Verfügung.
Microsoft hat für seinen Patchday im Juni zehn Updates angekündigt, die Schwachstellen in Windows, Internet Explorer, Word, Excel und Office schließen sollen. Bis auf vier Windows-Patches hat der Softwareanbieter alle Sicherheitslücken als kritisch eingestuft. Durch sie kann ein Angreifer beliebigen Schadcode einschleusen und ausführen.
Betroffen sind alle Versionen von Windows sowie der Internet Explorer 6, 7 und 8. Weitere sicherheitsrelevante Fehler bestehen in Word, Excel und Office 2000, 2002, 2003 und 2007 sowie Office für Mac 2004 und 2008. Ein weitere Update adressiert Works 8.5 und 9.0.
Darüber hinaus stellt Microsoft am kommenden Dienstag, den 9. Juni, das im Mai veröffentlichte Powerpoint-Update auch für Mac OS X zur Verfügung. Für die letzte Woche gemeldete Sicherheitslücke in DirectX wird es voraussichtlich noch keinen Patch geben. “Unsere Sicherheitsteams arbeiten intensiv an einem Update. Wir haben aber noch nicht das entsprechende Qualitätsniveau für eine Veröffentlichung erreicht”, schreibt Jerry Bryant, Senior Security Program Manager, in einem Blogeintrag.
Quelle: ZDNet
(am) – Ein Exploit für das kürzlich von Microsoft geschlossene Leck im IE 7 wurde in freier Wildbahn gesichtet. Die Malware kommt, etwas überraschend, per Word-Dokument.
Vorsicht bei unverlangt zugeschickten Word-Dokumenten. Dieses enthalten möglicherweise ein ActivX-Control, das ein Leck im Internet Explorer 7 ausnutzt, um den Rechner zu kompromittieren. Trend Micro zufolge wird eine Backdoor auf dem System installiert, die eine weitere Komponente nachlädt und einrichtet, um persönliche Informationen zu sammeln und zu verschicken.
Für das Leck im Browser hat Microsoft in der vergangenen Woche einen Patch veröffentlicht (MS09-002).
Quelle: PC Professionell
(am) - Letzter Patchday des Jahres behebt 28 Schwachstellen
Microsoft hat am letzten Patchday 2008 acht Sicherheitsupdates bereitgestellt, mit denen das Unternehmen insgesamt 28 Schwachstellen schließt. Sechs Patches, die 25 Sicherheitslücken beheben, hat das Unternehmen als kritisch eingestuft. Durch sie können Angreifer Schadcode einschleusen und ausführen.
Kritische Löcher stopft Microsoft in der Visual Basic 6.0 Runtime (MS08-070), in Windows GDI (MS08-071) unter allen Versionen des Microsoft-Betriebssystems, im Internet Explorer 5, 6 und 7 (MS08-073) und in Windows Search (MS08-075) unter Vista und Windows Server 2008. Auch die Fehler in den Office-Anwendungen Word für Windows und Word für Mac (MS08-072) sowie Excel für Windows und Excel für Mac (MS08-074) stuft Microsoft als kritisch ein.
Weiterlesen
(jp) - Microsoft hat zum Patch-Day im November zwei Sicherheitsupdates veröffentlicht, mit denen insgesamt vier Sicherheitslücken gestopft werden. Davon wird eine Sicherheitsanfälligkeit als kritisch eingestuft.
Beide Sicherheitsupdates stopfen Sicherheitslücken in Microsoft-Produkten, die eine Remotecodeausführung erlauben. Im Falle der als kritisch eingestuften Lücke steckt die Anfälligkeit in Microsofts XML Core Services.
Das Sicherheitsupdate wird für Microsoft XML Core Services 3.0 als kritisch und für Microsoft XML Core Services 4.0, Microsoft XML Core Services 5.0 und Microsoft XML Core Services 6.0 als hoch eingestuft. Microsofts XML Core Services kommt in allen Windows-Versionen ab Windows 2000 und in Office-Produkten zum Einsatz. Insgesamt werden drei Sicherheitslücken in XML Core Services geschlossen.
Weiterlesen
(jp) – Mit elf Updates bestreitet Microsoft den Patch Day im August. Sechs davon sollen kritische Sicherheitslücken in Windows, Internet Explorer, Access, Excel und Powerpoint stopfen.
Statt den am vergangenen Freitag angekündigten zwölf Updates gibt es nur elf. Den Patch für ein Leck im Windows Media Player hat sich Microsoft ohne Angabe von Gründen gespart; er wird wohl später nachgereicht. Aber auch so kommt reichlich Arbeit auf Admins zu, denn sechs Updates werden als kritisch eingestuft und neben Windows ist auch die Office-Suite des Software-Konzerns betroffen.
Weiterlesen
(am) – In der nächsten Woche kommt einiges auf Admins und PC-Nutzer zu, denn Microsoft hat für seinen monatlichen Patch Day immerhin zwölf Updates angekündigt. Allein sieben davon sollen kritische Sicherheitslücken stopfen.
Die kritischen Lecks sind im Internet Explorer 6 und 7 zu finden sowie in Word, Excel und Powerpoint. Betroffen sind hier nicht nur die Office-Anwendungen selbst, sondern auch die Viewer, wobei die Updates in diesem Fall nur die Sicherheitseinstufung important tragen.
Darüber hinaus sollen auch einige Lecks in Windows gestopft werden – ein kritisches, das in Windows 2000, XP und WIndows Server 2003 zu finden ist sowie ein nicht ganz so schwerwiegendes, das auch Vista und Windows Server 2008 betrifft. Ein Leck haben Vista und Windows Server 2008 zudem exklusiv, die älteren Windows-Version haben an dieser Stelle kein Problem.
Weiterlesen
