Nur zwei Patches am Microsoft-Patchday
Am November-Patchday wurden Sicherheitslücken in den Windows-DNS-Servern und in der Verarbeitung von präparierten URIs geschlossen.
14. November 2007
Am gestrigen Patchday von Microsoft gab es wie angekündigt nur zwei Sicherheitsupdates. Das erste stopft das bereits vor ungefähr einem Monat bekannt gewordene kritische URI-Sicherheitsleck. In Produkten wie Outlook verursachte die Überprüfung von präparierten URIs durch die Windows Shell einen Fehler, der dazu führen konnte, dass Schad-Software installiert wird. Der Fehler betrifft allerdings nur den Internet Explorer 7. Das Update ersetzt die betroffene Datei Shell32.dll durch eine neue, korrigierte Version.
Der zweite Patch mit der Bezeichnung "hoch" behebt eine Lücke in den Windows-DNS-Servern. Unter Windows 2000 Server sowie unter Windows Server 2003 kann eine zu geringe Entropie bei der Generierung der Transaction-IDs dazu führen, dass Angreifer eine Transaction-ID erfolgreich erraten und damit dem Server gefälschte DNS-Antworten etwa für Phishing-Angriffe unterschieben können. (mv)
Der zweite Patch mit der Bezeichnung "hoch" behebt eine Lücke in den Windows-DNS-Servern. Unter Windows 2000 Server sowie unter Windows Server 2003 kann eine zu geringe Entropie bei der Generierung der Transaction-IDs dazu führen, dass Angreifer eine Transaction-ID erfolgreich erraten und damit dem Server gefälschte DNS-Antworten etwa für Phishing-Angriffe unterschieben können. (mv)
Artikel kommentieren
