You are here: Home » Aktuelle Meldungen » Archiv
Sorry, this page is not translated yet.

Archiv für October 2006

October 2006

  • [MS/Active-X] Schwachstelle in der Verarbeitung von Active-X (2006-10-30)
    Eine Schwachstelle in den Routinen zur Ausführung des Active-X-Controls ADODB.Connection, kann von einem Angreifer potentiell dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des browsenden Benutzers auf dem beherbergenden System auszuführen. Das Control stellt eine OLE-basierte Schnittschtelle zu Datenbanksystemen bereit. Insbesondere die Integration von Active-X in den Internetexplorer stellt ein Einfallstor für Angriffe, diese Schwachstelle ausnutzend, von außerhalb dar: ein Benutzer muss lediglich eine entsprechend präparierte HTML-Seite, z.B. im Web oder in einer E-Mail-Nachricht, betrachten, um Opfer eines solchen Angriffes zu werden. Bislang ist nur sog. Proof-of-Concept Exploitcode verfügbar, jedoch wird damit gerechnet, dass entsprechende Angriffe bald stattfinden. Patches existieren noch nicht, daher wird die generelle Abschaltung des ActiveScripting insbesondere im Internetexplorer empfohlen.
    (VU#589272, CVE-2006-5559)
    • [MS/WinZip] Schwachstelle im WinZip ActiveX Control (2006-11-16)
      Eine Schwachstelle im ActiveX Control WZFILEVIEW.FileViewCtrl.61, das im Lieferumfang von WinZip 10.0 enthalten ist, enthält eine Schwachstelle, die von einem Angreifer dazu ausgenutzt werden kann, beliebigen Programmcode mit den Privilegien des aufrufenden Benutzers auf dem beherbergenden Rechnersystem auzuführen. Da bei der Installation von Winzip das Control so eingebunden wird, dass es z.B. beim Download einer ZIP-Datei durch den Internet Explorer automatisch aufgerufen wird, genügt es, dass ein Benutzer eine entsprechend präparierte Datei z.B. von einer Webseite herunterlädt, um Opfer eines erfolgreichen Angriffs zu werden. (CVE-2006-5198)
    • [MS/Active-X] Weitere Schwachstelle in Active-X wird aktiv ausgenutzt (2006-11-09)
      Eine Schwachstelle in der msxml4.dll, die bei der Ausführung der setRequestHeader() Methode des Active-X-Controls XMLHTTP 4.0 greift, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des browsenden Benutzers auf dem beherbergenden System auszuführen. Das Control ermöglicht interaktiven Webseiten, XML-Code mittels HTTP zu senden und zu empfangen. Es ist im Lieferumfang von Windows XP nicht enthalten, kann jedoch leicht installiert werden und ist im Lieferumfang zahlreicher Applikationen enthalten. Insbesondere die Integration von Active-X in den Internetexplorer stellt ein Einfallstor für Angriffe von außerhalb dar, diese Schwachstelle ausnutzend: ein Benutzer muss lediglich eine entsprechend präparierte HTML-Seite, z.B. im Web oder in einer E-Mail-Nachricht, betrachten, um Opfer eines solchen Angriffes zu werden. Patches existieren noch nicht, daher wird die generelle Abschaltung des ActiveScripting insbesondere im Internetexplorer empfohlen. Ebenfalls beschreibt Microsoft einen Workaround, der die Ausführung des verwundbaren Codes unterbindet.
      Die Schwachstelle wird nach Information des CERT/CC bereits aktiv ausgenutzt.
      (CVE-2006-5745, VU#585137, Secunia Advisoy SA22687)
  • [MS/Windows] Microsoft Security Bulletin Summary für Oktober 2006 behebt 26 Schwachstellen (2006-10-12)
    Im Rahmen seines Security Bulletin Summary für Oktober 2006 stellt Microsoft 10 sicherheitsrelevante Updates zur Behebung von insgesamt 26 Schwachstellen bereit, darunter die erst jüngst bekannt gewordene Schwachstelle in Word 2000, Word 2002 und Office 2003, die bereits seit September aktiv ausgenutzt wurde (s. RUS-CERT#1318). Sechs der Updates beheben durch Microsoft als kritisch eingestufte Schwachstellen in Windows XP, MS Office, MS PowerPoint, MS Excel und MS Word. Ein weiteres Update behebt zwei als hoch eingestufte Schwachstellen im Serverdienst von Windows XP. Die restlichen Updates beheben als mittel und gering eingestufte Schwachstellen. Es wird dringend empfohlen die von Microsoft veröffentlichten Sicherheits-Updates zu installieren.
    ( CVE-2006-4690, CVE-2006-3435, CVE-2006-3876, CVE-2006-3877, CVE-2006-4694, CVE-2006-2387, CVE-2006-3431, CVE-2006-3867, CVE-2006-3875, CVE-2006-3647, CVE-2006-3651, CVE-2006-4534, CVE-2006-4693, CVE-2006-4685, CVE-2006-4686, CVE-2006-3434, CVE-2006-3650, CVE-2006-3864, CVE-2006-3868, CVE-2006-3942, CVE-2006-4696, CVE-2006-3436, CVE-2006-4692, CVE-2004-0790, CVE-2004-0230, CVE-2005-0688)

Andere Monate

2017

2016

2015

2014

2013

2012

2011

2010

2009

2008

2007

2006

2005

2004

2003

2002

2001

2000