08.10.2012
Sicherheit
Microsoft schließt kritische Lücke in Word
Autor: Thorsten Eggeling
Microsoft kündigt zum Patch Day am 9. Oktober in sieben Security Bulletins insgesamt 20 Updates an. Damit werden vor allem Sicherheitslücken in Microsoft Office und einigen Server-Produkten geschlossen.
Die als kritisch eingestufte Lücke betrifft Microsoft Word in den Versionen 2003, 2007, 2010 und den Word Viewer. Um den PC mit Schadcode zu infizieren, muss der Nutzer ein manipuliertes Word-Dokument öffnen - entweder direkt oder im Browser über eine Webseite. Laut Security Bulletin lässt sich die kritische Lücke auch über den SharePoint Server 2010 SP1 und die Microsoft Office Web Apps 2010 SP1 ausnutzen.
Die übrigen Updates schließen Sicherheitslücken, denen die Sicherheitsexperten ein hohes Risiko bescheinigen. Hiervon betroffen sind Windows XP, Server 2003, Vista, Server 2008 und 7, Server 2008 R2, Info Path 2007 und 2010, SharePoint Server 2007 und 2010, Groove Server 2010, FAST Search Server 2010, SharePoint Services 3.0, Lync 2010, Communicator 2007 R2 und SQL Server 2005, 2008 und 2012. Angreifer können die Lücken missbrauchen, um sich unbefugt höhere Rechte zu erschleichen (Elevation of Privileges) oder Denial-of-Service-Attacken (DoS) durchzuführen. Über zwei Lücken lässt sich außerdem Schadcode einschleusen.
Microsoft hat außerdem ein vorab angekündigtes Update im Download-Center und über den Update-Katalog zur Verfügung gestellt, das die RSA-Schlüssellänge auf mindestens 1024 Bit zu erhöht. Diese Länge wird nun aus Sicherheitsgründen für die Zertifizierung von Windowsprodukten vorausgesetzt. Zum Patchday wird es über die Windows-Updatefunktion mit den anderen Updates zusammen automatisch ausgeliefert.
Daneben gibt es wie üblich ein neues “Windows Tool zum Entfernen bösartiger Software. Der Softwarekonzern stellt außerdem ein Update für alle Windows-Versionen zur Verfügung, um die Sommerzeit in bestimmten Ländern anzupassen. Weitere nicht sicherheitsrelevante Updates betreffen Windows 7 und Windows Server 2008 R2.
Microsoft empfiehlt seinen Kunden, das Update angesichts der kritischen Sicherheitslücke in Word möglichst zeitnah durchzuführen.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>