1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Patch-Day mit elf Bulletins, auch TIFF-Lücke ist dabei

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von Anderl, 6. Dezember 2013.

  1. Anderl
    Offline

    Anderl Administrator Digital Eliteboard Team

    Registriert:
    30. November 2007
    Beiträge:
    17.343
    Zustimmungen:
    99.635
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Am nächsten Dienstag gibt es den letzten Patch-Day dieses Jahres und Microsoft verabschiedet sich von 2013 mit gleich elf Bulletins. Fünf geschlossene Lücken werden dabei als kritisch eingestuft, der Rest wurde unter "wichtig" einsortiert.
    Microsoft hat wie üblich in der Woche vor dem Patch-Day die Übersicht der Schwachstellen, die am nächsten Dienstag geschlossen werden, veröffentlicht. In der

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    für den Dezember gibt es einen ersten Überblick, Details zu den meisten Lücken werden natürlich noch nicht genannt.
    Im Chief Security Advisor Blog wird allerdings verraten, dass die GDI+-Schwachstelle, vor der Microsoft bereits Anfang November gewarnt hat, vollständig geschlossen wird. Damit war es in Microsofts Graphics-Komponente möglich, per TIFF-Dateien Schadcode in ein System einzuschleusen. Einen Workaround gab es schon bisher und zwar über die Deaktivierung des TIFF-Codecs (siehe

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    ), nun wird die Lücke aber im Rahmen eines regulären Patch-Days gestopft.
    Nicht behoben wird nächste Woche hingegen die jüngst entdeckte Schwachstelle im Kernel von Windows XP und Server 2003 (Versionen ab Windows Vista sind nicht betroffen). Hier verweist das Redmonder Unternehmen auf die Sicherheitsempfehlung mit der Nummer

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    , darin ist nachzulesen, wie die verantwortliche NDProxy-Schnittstelle temporär deaktiviert werden kann.
    Wie bereits erwähnt, wurden fünf der elf Lücken als kritisch eingestuft, diese Bulletins beheben Schwachstellen in Internet Explorer, Windows und Microsoft Exchange. Alle fünf stehen im Zusammenhang mit Remote Code Execution.
    Die Patches werden über das Microsoft-Download-Center bereitgestellt, per Aktualisierungsfunktion von Windows kann das auch automatisch durchgeführt werden.

    Quelle: winfuture
     
    #1
  2. phantom

    Nervigen User Advertisement

  3. Anderl
    Offline

    Anderl Administrator Digital Eliteboard Team

    Registriert:
    30. November 2007
    Beiträge:
    17.343
    Zustimmungen:
    99.635
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    AW: Patch-Day mit elf Bulletins, auch TIFF-Lücke ist dabei

    Patch-Day: Microsoft schließt 24 Sicherheitslücken


    Wie an jedem zweiten Dienstag des Monats hat Microsoft heute seine Sicherheits-Updates veröffentlicht. Wie bereits am Donnerstag letzter Woche angekündigt, wurden nun insgesamt elf neue Sicherheitshinweise herausgegeben.

    Microsoft schließt mit den heute veröffentlichten Patches gleich 24 Sicherheitslücken, hat es aber bisher versäumt, die Angaben zu den elf neuen Sicherheitshinweisen in deutscher Sprache zu veröffentlichen. Vorläufig geben wir die Beschreibung der Updates deshalb hier in englischer Sprache wieder:

    [​IMG] MS13-096 - Vulnerability in Microsoft Graphics Component
    This security update resolves a publicly disclosed vulnerability in Microsoft Windows, Microsoft Office, and Microsoft Lync. The vulnerability could allow remote code execution if a user views content that contains specially crafted TIFF files.

    Security Bulletin:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?


    Knowledge Base:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    ####################

    MS13-097 - Cumulative Security Update for Internet Explorer
    This security update resolves seven privately reported vulnerabilities in Internet Explorer. The most severe vulnerabilities could allow remote code execution if a user views a specially crafted webpage using Internet Explorer

    Security Bulletin:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?


    Knowledge Base:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    ####################

    MS13-098 - Vulnerability in Windows Could Allow Remote Code Execution
    This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if a user or application runs or installs a specially crafted, signed portable executable (PE) file on an affected system.

    Security Bulletin:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?


    Knowledge Base:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    ####################


    MS13-099 - Vulnerability in Microsoft Scripting Runtime Object Library
    This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if an attacker convinces a user to visit a specially crafted website or a website that hosts specially crafted content.

    Security Bulletin:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?


    Knowledge Base:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    ###################

    MS13-100 - Vulnerabilities in Microsoft SharePoint Server
    This security update resolves multiple privately reported vulnerabilities in Microsoft Office server software. These vulnerabilities could allow remote code execution if an authenticated attacker sends specially crafted page content to a SharePoint server.

    Security Bulletin:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?


    Knowledge Base:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    ###################

    MS13-101 - Vulnerabilities in Windows Kernel-Mode Drivers
    This security update resolves five privately reported vulnerabilities in Microsoft Windows. The more severe of these vulnerabilities could allow elevation of privilege if an attacker logs on to a system and runs a specially crafted application.

    Security Bulletin:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?


    Knowledge Base:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    ###################

    MS13-102 - Vulnerability in LRPC Client
    This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow elevation of privilege if an attacker spoofs an LRPC server and sends a specially crafted LPC port message to any LRPC client.

    Security Bulletin:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?


    Knowledge Base:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    ###################

    MS13-103 - Vulnerability in ASP.NET SignalR
    This security update resolves a privately reported vulnerability in ASP.NET SignalR. The vulnerability could allow elevation of privilege if an attacker reflects specially crafted JavaScript back to the browser of a targeted user.

    Security Bulletin:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?


    Knowledge Base:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    ###################

    MS13-104 - Vulnerability in Microsoft Office
    This security update resolves one privately reported vulnerability in Microsoft Office that could allow information disclosure if a user attempts to open an Office file hosted on a malicious website.

    Security Bulletin:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?


    Knowledge Base:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    ###################

    MS13-105 - Vulnerabilities in Microsoft Exchange Server
    This security update resolves three publicly disclosed vulnerabilities and one privately reported vulnerability in Microsoft Exchange Server. The most severe of these vulnerabilities exist in the WebReady Document Viewing and Data Loss Prevention features of Microsoft Exchange Server.

    Security Bulletin:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?


    Knowledge Base:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    ###################

    MS13-106 - Vulnerability in a Microsoft Office Shared Component
    This security update resolves one publicly disclosed vulnerability in a Microsoft Office shared component that is currently being exploited. The vulnerability could allow security feature bypass if a user views a specially crafted webpage in a web browser capable of instantiating COM components, such as Internet Explorer. In a web-browsing attack scenario, an attacker who successfully exploited this vulnerability could bypass the Address Space Layout Randomization (ASLR) security feature, which helps protect users from a broad class of vulnerabilities. The security feature bypass by itself does not allow arbitrary code execution. However, an attacker could use this ASLR bypass vulnerability in conjunction with another vulnerability, such as a remote code execution vulnerability that could take advantage of the ASLR bypass to run arbitrary code.

    Security Bulletin:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?


    Knowledge Base:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    ###################

    Quelle: winfuture
     
    #2
    TRon69 und sumsi gefällt das.

Diese Seite empfehlen