Bugs & Exploits bei Microsoft

 


 

Microsoft vermeldet in einer aktuellen Aussendung, dass „im Internet schädlicher Code aufgetaucht ist, der versucht, Systeme über eine im Security Bulletin MS04-011 vom 13.04.2004 beschriebene Sicherheitsanfälligkeit anzugreifen.”

Nachdem das Unternehmen aus Redmond allerdings nicht mehr jeden Fehler einzeln dokumentiert, sondern „für die bessere Übersicht seitens der Kunden” - böse Zungen behaupten, um den „Fehlercount” unten zu halten – mehrere Probleme in einem Bulletin zusammenfasst, hat man nun die Auswahl, um welches der im nachfolgenden aufgeführten Probleme es sich handelt:

  • LSASS-Sicherheitsanfälligkeit - CAN-2003-0533: Codeausführung von Remotestandorten aus
  • LDAP-Sicherheitsanfälligkeit – CAN-2003-0663: Denial-Of-Service (DoS)
  • PCT-Sicherheitsanfälligkeit - CAN-2003-0719: Codeausführung von Remotestandorten aus
  • Winlogon-Sicherheitsanfälligkeit - CAN-2003-0806: Codeausführung von Remotestandorten aus
  • Metafile-Sicherheitsanfälligkeit - CAN-2003-0906: Codeausführung von Remotestandorten aus
  • Sicherheitsanfälligkeit bzgl. Hilfe- und Supportcenter - CAN-2003-0907: Codeausführung von Remotestandorten aus
  • Sicherheitsanfälligkeit bzgl. Hilfsprogramm-Manager - CAN-2003-0908: Erhöhte Berechtigungen
  • Sicherheitsanfälligkeit bzgl. Windows-Verwaltung - CAN-2003-0909: Erhöhte Berechtigungen
  • Sicherheitsanfälligkeit bzgl. der Lokalen Deskriptortabelle - CAN-2003-0910: Erhöhte Berechtigungen
  • H.323-Sicherheitsanfälligkeit* - CAN-2004-0117: Codeausführung von Remotestandorten aus
  • Sicherheitsanfälligkeit bzgl. Virtual DOS Machine - CAN-2004-0118: Erhöhte Berechtigungen
  • Sicherheitsanfälligkeit bzgl. Negotiate SSP - CAN-2004-0119: Codeausführung von Remotestandorten aus
  • SSL-Sicherheitsanfälligkeit - CAN-2004-0120: Denial-Of-Service (DoS)
  • Sicherheitsanfälligkeit bzgl. ASN.1 „Double Free” - CAN-2004-0123: Codeausführung von Remotestandorten aus
Auf die Schnelle haben wir via Google Exploits zu den den Punkten „LSASS-Sicherheitsanfälligkeit – CAN-2003-0533” und „SSL-Sicherheitsanfälligkeit – CAN-2004-0120” gefunden, laut Gerüchten soll auch bereits ein Exploit für „Sicherheitsanfälligkeit bzgl. ASN.1 ‘Double Free’ – CAN-2004-0123” existieren.

Am einfachsten kann man sich vor diesen Angriffen schützen, indem man die im Bulletin beschriebenen Sicherheitsupdates einspielt.

Microsoft Security Bulletin MS04-011: Sicherheitsupdate für Microsoft Windows (835732)
Microsoft: Information about code that attempts to exploit PCT in SSL
Microsoft IIS SSL Remote Denial of Service Exploit (MS04-011)



Glossar

Exploit:
Ein Exploit (englisch to exploit - ausnutzen) ist ein Computerprogramm, welches spezifische Schwächen beziehungsweise Fehlfunktionen eines anderen Computerprogrammes ausnutzt (z. B. bei DoS-Attacken). Dies erfolgt in der Regel mit destruktiver Absicht.

Ein Exploit wird oft auch zur Demonstration einer Sicherheitslücke geschrieben und veröffentlicht. Dadurch soll erreicht werden, dass Hersteller von Software gezwungen werden möglichst schnell auf bekannt gewordene Sicherheitslücken zu reagieren.
Aus Wikipedia, der freien Enzyklopädie

Martin Leyrer

Die Meldung finden Sie im Original unter http://www.wcm.at/story.php?id=6433

Tagged as: , | Author:
[Freitag, 20040423, 13:50 | permanent link | 0 Kommentar(e)

Comments are closed for this story.


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.

Search

RSS Feed RSS Feed

Tag Cloud

2007, a-trust, a.trust, a1, accessability, acta, advent, age, amazon, ankündigung, apache, apple, audio, austria, backup, barcamp, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, bruce sterling, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, collection, computer, computing, concert, conference, copyright, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, dev, developer, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, Domino, domino, Douglas Adams, download, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, Ein_Tag_im_Leben, email, eu, event, exchange, Extensions, fail, feedback, film, firefox, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handtuch, handy, hardware, HHGTTG, history, how-to, howto, hp, html, humor, IBM, ibm, ical, image, innovation, intel, internet, internet explorer, iphone, ipod, isp, it, IT, java, javascript, job, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, linux, Linux, linuxwochen, linuxwochenende, living, lol, london, lost+found, Lotus, lotus, lotus notes, Lotus Notes, LotusNotes, lotusnotes, Lotusphere, lotusphere, Lotusphere2006, lotusphere2007, Lotusphere2008, lotusphere2008, lustig, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, microsoft, Microsoft, mITtendrin, mobile, mood, movie, mp3, multimedia, music, musik, männer, nasa, netwatcher, network, netzpolitik, news, nokia, notes, Notes, Notes+Domino, office, online, OOXML, open source, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, presse, privacy, privatsphäre, productivity, programming, protest, qtalk, quintessenz, quote, quotes, radio, rant, recherche, recht, release, review, rezension, rss, science, search, security, server, sf, shaarli, Show-n-tell thursday, sicherheit, silverlight, SnTT, social media, software, sony, sound, space, spam, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, sun, sysadmin, talk, talks, technology, The Hitchhikers Guide to the Galaxy, theme, think, thinkpad, tip, tipp, tools, topgear, torrent, towel, Towel Day, TowelDay, travel, truth, tv, twitter, ubuntu, uk, unix, update, usa, vds, video, videoüberwachung, vienna, Vim, vim, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, web, web 2.0, web2.0, Web20, web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, wow, wtf, Wunschzettel, wunschzettel, www, xbox, xml, xp, zensur, zukunft, zune, österreich, övp, übersetzung, überwachung

AFK Readinglist