Nachdem Microsoft im Februar den lang erwarteten Server 2008 offiziell veröffentlicht hat und das Vista SP1 für jedermann vor der Tür steht, erhofft man sich im Hause MS wohl den endgültigen Marktdurchbruch von Vista auch im Unternehmenseinsatz. Denn erst im Zusammenspiel mit Server 2008 kann Vista seine Stärken und Vorteile gegenüber XP in Punkto Sicherheit und zentrale Wartbarkeit wirklich ausspielen Vielleicht will MS die Klientel der Unternehmenskunden in Punkto "sicherstes MS OS aller Zeiten" nicht verschrecken und konzentriert sich deswegen diesen Monat ausschließlich auf Patches für Office. Schade, dass keine für Access dabei sind, denn schließlich werden dort vorhandene Lücken bereits aktiv ausgenutzt, wie man in Heise Security nachlesen kann. Wie Hohn klingt in diesem Zusammenhang, dass MS keinen Patch dafür veröffentlich will und das damit begründet, dass das Access Dateiformat neben anderen nun einmal ein inhärent unsicheres sei. Siehe Überblick zum Thema unsichere Dateitypen in Microsoft-Produkten Man fragt sich angesichts dessen, warum überhaupt Patche für andere MS Office Produkte veröffentlicht werden. Wie dem auch sei, die offizielle Zusammenfassung des März-Patchday gibt es hier: Security Bulletin März 08 MS08-014Stopft ganze sieben Lücken in MS Excel von Version 2000 bis hoch zur aktuellen Version 2007. Wenigstens Excel 2003 SP3 und 2007 SP1 sind nach vorläufiger Lesart nicht betroffen; dafür bei den anderen auch die Apple Mac Versionen. Im Endeffekt laufen alle Lücken darauf hinaus, dass es reicht, mit einen ungepatchten Excel eine entsprechend vorbereitete Excel Datei zu öffnen, um beliebigen Schadcode zur Ausführung zu bringen. MS08-015: Ein Must Have für alle Outlook Benutzer. *Nicht* Outlook Express, nur Outlook. Damit reicht ein Klick auf einen passenden Mailto: Link in einer Mail oder auf einer Webseite und schon ist der Rechner verseucht. MS08-016: Ein Sammelpatch für die meisten Office Produkte, der zwei Probleme beseitigt. Bei beiden reicht es aus, eine entsprechend manipulierte Datei zu öffnen, "um beliebigen Code mit den Rechten des Anwenders zur Ausführung zu bringen". Ja, ich weiss, ich wiederhole mich. Hat mal jemand eine andere Formulierung für diesen Sachverhalt für mich parat? Ach ja, es reicht bereits aus, den Excel Viewer 2003 installiert zu haben, das komplette Office oder Excel ist gar nicht nötig. Office 2007 dagegen ist für diese beiden Angriffe nicht anfällig. MS08-017: Zu guter Letzt noch ein Patch für zwei Lücken in den "Microsoft Office Web Components". Die werden nicht mit den OfficePaketen zusammen installiert, sondern kommen auch in diversen Serverprodukten wie dem BiZTalk Server oder, besonders unangenehm, dem ISA 2000 Server SP2 für dessen Reportingfunktionalität zum Einsatz. Anwender von Office 2000 SP3, Office XP SP3, Visual Studio 2002 und 2003 sowie des BizTalk Server 2000/2003, des Commerce Server 2000 und des ISA 2000 Sp2 sollten diesen Patch schnellstmöglich installieren. Das war es für diesen Monat. Viel Spaß beim Testen und Patchen. Und nicht vergessen: Wie immer gibt es auch eine neue Version des "Tools zum Entfernen bösartiger Software".
|
|||