Microsoft will morgen zwei Lecks in Visual Studio und Internet Explorer abdichten, die man offenbar als so kritisch einstuft, dass man nicht bis zum monatlichen Patch Day warten will.
Details zu den beiden Sicherheitslücken wird Microsoft erst morgen mit den Updates veröffentlichen. So ist dann einstweilen nur bekannt, dass der Internet Explorer ab Version 5 und Visual Studio ab Visual Studio .NET 2003 beziehungsweise ab Visual Studio C++ 2005 betroffen sind. Die beiden Lecks hängen zusammen und bedürfen Microsoft zufolge einiger tiefgreifender Änderungen im Internet Explorer, um abgedichtet zu werden. (Daniel Dubsky)
Microsoft behebt schwerwiegendes ActiveX-SicherheitsproblemDatensicherheit 29.07.2009 | 07:27 In der Active Template Library (ATL) von Visual Studio, mit der viele ActiveX-Controls entwickelt werden, stecken drei Sicherheitslecks, die Microsofts bisherige Schutzmechanismen im Internet Explorer aushebeln. Der Software-Riese musste daher seinen Browser-Schutz nachbessern. Microsoft stuft das Problem als so kritisch ein, dass man nicht bis zum nächsten Patch Day im August mit den Updates warten will, sondern sie sofort veröffentlicht. Das Update für Visual Studio trägt zwar nur die SIcherheitseinstufung moderate, dies aber nur weil die Entwicklungsumgebung selbst nicht gefährdet ist. Das trifft allerdings auf zahlreiche COM-Komponenten und ActiveX-Controls zu, die mit Visual Studio entwickelt worden. Wurde bei ihnen die Active Template Library (ATL) verwendet, machen sie den Rechner des Anwenders angreifbar - werden die ActiveX-Controls im Internet Explorer aufgerufen, beispielsweise beim Ansurfen einer Website, kann man sich Schadcode einfangen. Bisher setzte Microsoft in solchen Fällen einfach das Killbit für die betroffenen ActiveX-Controls, um zu verhindern, dass sie vom Internet Explorer aufgerufen werden. Doch wie man jetzt in einem Security Advisory schreibt, lässt sich dieser grundlegende Schutzmechanismus durch die neu entdeckten Lecks umgehen. Daher gibt es auch ein Update für den Internet Explorer, dem man einen neuen Schutzmechanismus verpasst. Welcher Art dieser ist, verrät Microsoft nicht, nur dass er das Ausnutzen der ATL-Sicherheitslücken verhindern soll. Quasi nebenbei behebt das IE-Update noch drei weitere Sicherheitsprobleme im Microsoft-Browser, die Speicherfehler auslösen konnten und ebenfalls für das Einschleusen von Code taugten. Betroffen von diesen Lecks und von den ATL-Lecks sind alle Versionen des Internet Explorers inklusive der neuen Version 8. (Daniel Dubsky)
AntwortenLöschen