Microsoft Patchday lässt CSS-Lücke weiter offen

12. Jänner 2011, 12:04
2 Postings

Eine kritische und eine wichtige Schwachstelle beseitigt

Am Patchday schließt Microsoft drei Sicherheitslecks über zwei Patches, fünf Schwachstellen bleiben aber weiterhin unbeseitigt.

MS11-002

Microsoft bessert beim Datenbank-Modul DMAC an zwei Stellen nach. Eine der Schwachstellen wird als kritisch eingestuft, das Risiko, dass das System mit Schadsoftware infiziert werden könnte sei sehr hoch.

Alle Windows-Versionen sind von der Sicherheitslücke betroffen auch wurde diese bereits vergangenen März beim Pwn2own-Wettbewerb aktiv ausgenutzt. Trotz ASLR und DEP gelang es Peter Vreugdenhil unter Windows 7 den Internet Explorer 8 zu knacken.

MS11-001

Für Vista-Nutzer gibt es ein als "wichtig" eingestuftes Update, dieses beseitigt ein Problem mit dem Windows Backup Manager. Dieser lädt Bibliotheken vorzugsweise auf dem gleichen Verzeichnis in welchem auch die ".wbcat"-Datei liegt, über welche er gestartet wurde. Da die entsprechende Datei auch im Internet liegen könnte kann ein System mit entsprechendem Link infiziert werden.

Offene Lücken

Fünf bestätigte Sicherheitslöcher klaffen nach dem Jänner-Patchday bei Microsoft. Die gravierendste davon: eine CSS-Lücke im Internet Explorer, welche bereits aktiv ausgenutzt wird. Auch präparierte Thumbnails werden unter Windows 7 und 2008 Server zum Sicherheitsrisiko. Dieses lasse sich mithilfe des Fix-It-Tools in Version 2.1.3.3 allerdings umgehen. (pd)

Der WebStandard auf Facebook

  • Bild nicht mehr verfügbar
Share if you care.