Microsoft Windows Vista Community Forums - Vistaheads
Recommended Download



Welcome to the Microsoft Windows Vista Community Forums - Vistaheads, YOUR Largest Resource for Windows Vista related information.

You are currently viewing our boards as a guest which gives you limited access to view most discussions and access our other features. By joining our free community you will have access to post topics, communicate privately with other members (PM), respond to polls, upload content and access many other special features. Registration is fast, simple and absolutely free so , join our community today!

If you have any problems with the registration process or your account login, please contact us.

Driver Scanner

Patch Day April 2007

microsoft.public.de.windows.vista.sicherheit






Speedup My PC
Reply
  #1 (permalink)  
Old 04-10-2007
Michael H. Fischer
 

Posts: n/a
Patch Day April 2007
Nach dem ausgefallenen Patchtag im März kam es für Microsoft im April
richtig ****e. So ****e, dass ein außerplanmäßiger Patch für eine Lücke
im GDI Subsystem bereits eine Woche vor dem planmäßigen Patchtag
veröffentlicht werden musste. Ein Patch für eine Lücke, die bereits seit
Dezember bei MS bekannt war, ein Patch, der bereits seit mindestens drei
Monaten bei MS quasi in der Schublade lag, ein Patch, der eine seit
längerem ausgenutzte Sicherheitslücke stopfte, ein Patch für eine
Sicherheitslücke, die das Ausführen von beliebigem Code bereits bei
puren Anzeigen einer Webseite(nahezu unabhängig vom verwendeten
Browser) oder einer Mail erlaubt. Und was ist die Begründung aus dem
Hause MS dafür, dass der Patch erst jetzt kam? Sinngemäß: "Da die Lücke
sich im GDI System befindet, einer essentiellen Komponente, müssten vor
der Veröffentlichung besonders intensive Tests durchgeführt werden, um
Inkompatibilitäten mit anderer Software zu vermeiden".

Wie intensiv diese Tests wohl waren, sieht man daran, das es sehr kurz
nach Verfügbarkeit des Hotfix einen Patch für den Patch gab, der
Probleme mit Elster und dem Realtec Sound Manager fixte…

Hoffen wir, dass die Patche, die es heute zum offiziellen Patchtag gibt,
noch intensiver getestet wurden. Die offizielle Zusammenfassung gibt es
hier: http://www.microsoft.com/technet/sec.../ms07-apr.mspx

http://www.microsoft.com/technet/sec...MS07-017.mspx: Wurde
bereits letzte Woche außerplanmäßig veröffentlicht und beseitigt
insgesamt sieben Lücken im GDI System. Einige davon sind nur lokal
ausnutzbar, wenn der Angreifer über eine Account auf dem System verfügt,
die gefährlichste Lücke jedoch entsteht durch die fehlerhafte
Verarbeitung von .ani oder Icon Dateien und kann bereits beim Besuch
einer Webseite oder das Öffnen einer Mail zur Ausführung von beliebigem
Code genutzt werden. Dabei ist es unerheblich, welcher Browser genutzt
wird, da alle grafischen Browser auf die entsprechenden
Windowsfunktionen zurückgreifen.

Nach der Installation dieses Patches kann es zu Problemen mit einigen
Anwendungen kommen, die in http://support.microsoft.com/kb/935448/DE/
genannt sind. Dort ist auch ein passender Patch zum Patch verlinkt,
dessen Installation eigentlich grundsätzlich präventiv erfolgen sollte.

http://www.microsoft.com/technet/sec...MS07-018.mspx:
Betrifft nur Admins, die den MS Content Management Server einsetzen und
beseitigt in selbigen zwei Lücken, darunter eine Cross–Site Scripting
Verwundbarkeit.

http://www.microsoft.com/technet/sec...MS07-019.mspx: Ein
Patch für Windows XP2 mit aktivem "Universal Plug and Play" Dienst. Per
Default startet dieser Dienst zwar nicht automatisch, durch die
Installation von Drittanbietersoftware kann es jedoch dazu kommen, dass
der Dienst unbemerkt mitgestartet wird. Im Normallfall verhindert die XP
Firewall Zugriffe von aussen auf den UPnP Dienst, auch müsste sich ein
Angreifer im selben Subnet wie das angegriffene System befinden,
trotzdem empfiehlt sich die Installation des Patches, denn immerhin ist
darüber das Ausführen von beliebigem Code mit den Rechten des "Local
Serviceaccounts" möglich.

http://www.microsoft.com/technet/sec...MS07-020.mspx: Bei
Windows 2000 und XP erlaubt der MS Agent beim Besuch einer "bösartigen
Webseite das Ausführen von Schadcode mit den Rechten des angemeldeten
Users. Benutzer, die ständig mit Adminrechten unterwegs sind, haben im
Schadensfall so richtig verloren.

http://www.microsoft.com/technet/sec...MS07-021.mspx: Damit
sich Vista Benutzer nicht in falscher Sicherheit wiegen, gibt es neben
MS07-017 auch noch diesen Patch für sie, der für alle noch offiziell
unterstützte Windows Versionen verfügbar ist und drei Probleme im CSRSS
(Client/Server Runtime SubSystem) beseitigt. Teilweise natürlich wieder
remote durch den Besuch der passenden Webseite ausnutzbar und dann auch
zur kompletten Übernahme des Systems geeignet. Kommentare zu "Das
sicherste Windows aller Zeiten" und der UAC verkneife ich mir an dieser
Stelle.

http://www.microsoft.com/technet/sec...MS07-022.mspx: Zu
guter letzt noch etwas für W2K und XP Nutzer. Ein lokal angemeldeter
User kann sich (wieder einmal) höhere Rechte verschaffen, wenn dieser
Patch nicht installiert ist.

Und das war es im April Ganz ohne Aprilscherz. Viel Spass beim Patchen.
Ach ja, natürlich gibt es auch eine neue Version des "Tools zum
Entfernen bösartiger Software".

MfG
Michael H. Fischer
--
Freeware und Antworten rund um NT/W2K/XP: http://www.derfisch.de/
Neu: http://www.freewi.de Das Freeware Wiki zum Mitmachen
Windows Tuning Mythen: http://www.derfisch.de/Tuning-Mythen.html
Reply With Quote
Sponsored Links
  #2 (permalink)  
Old 04-10-2007
Werner Zumwinkel
 

Posts: n/a
Re: Patch Day April 2007
Michael H. Fischer schrieb:

>
> Und das war es im April Ganz ohne Aprilscherz. Viel Spass beim Patchen.
> Ach ja, natrlich gibt es auch eine neue Version des "Tools zum
> Entfernen bsartiger Software".
>
> MfG
> Michael H. Fischer


http://www.nosebrain.de/wp-content/p...te_1_sajaf.jpg


Viele Gre,

Werner
Reply With Quote
  #3 (permalink)  
Old 04-11-2007
Siegfried Veit
 

Posts: n/a
Re: Patch Day April 2007
"Werner Zwirnpickel" klimperte folgendes

[Mll fachgerecht entsorgt]


Wei dein Vater eigentlich,
dass du stndig an seinen PC rumspielst?

Knntest du nicht zur Abwechselung mal was ntzliches machen,
z.B. vorm Zug springen oder dich erschieen!

*SCNR*

--
Bitte nur in NewsGroup antworten.
Email wird nicht gelesen!

Reply With Quote
  #4 (permalink)  
Old 04-11-2007
Roy Coorne
 

Posts: n/a
Re: Patch Day April 2007
Werner Zumwinkel wrote:
> Michael H. Fischer schrieb:
>
>> Und das war es im April Ganz ohne Aprilscherz. Viel Spass beim Patchen.
>> Ach ja, natrlich gibt es auch eine neue Version des "Tools zum
>> Entfernen bsartiger Software".
>>
>> MfG
>> Michael H. Fischer

>
> http://www.nosebrain.de/wp-content/p...te_1_sajaf.jpg
>


Starker Tobak! Aber amsant... allerdings berhaupt nicht spezifisch
fr die dort beworbene Firma, sondern sehr weit verbreitet - von der
Politik ganz zu schweigen.

Es ist unfair, die Politik an Wahlversprechen zu messen (Mntefering,
z. B.
<http://de.answers.yahoo.com/question/index?qid=20060830041546AA7ifXV>)
- es ist berhaupt unfair, irgend jemanden an seinen/ihren
Versprechungen zu messen.

Roy
Reply With Quote
  #5 (permalink)  
Old 04-11-2007
Werner Zumwinkel
 

Posts: n/a
Re: Patch Day April 2007
Roy Coorne schrieb:
> Es ist unfair, die Politik an Wahlversprechen zu messen (Müntefering, z.
> B.
> <http://de.answers.yahoo.com/question/index?qid=20060830041546AA7ifXV>)
> - es ist überhaupt unfair, irgend jemanden an seinen/ihren
> Versprechungen zu messen.
>
> Roy



Aber so langsam geht es los. Fehler über Fehler....

Die kritischen Sicherheitslücken in Vista waren bereits seit dem 15.
Dezember _2006_ bekannt. Also mehr als sechs Wochen vor dem öffentlichen
Verkaufsstart von Vista.

http://www.determina.com/security.re...harderror.html

Am 22. Dezember schreibt heise: "Microsoft nimmt dem eigenen Bekunden
nach die Schwachstelle ernst."

http://www.heise.de/security/news/meldung/82902

Wie ernst man dieses schwerwiegende Sicherheitsproblem genommen hat,
zeigt sich dadurch, dass der eigenen Kundschaft der Patch erst heute
geliefert wird.

"Mittlerweile räumt der Betriebssystemhersteller ein, dass sich der
Fehler auch über eine Webseite auslösen ließe. Folglich ist der Fehler
für Windows [...] Vista nun als kritisch eingestuft."

http://www.heise.de/newsticker/meldung/88060

Nicht die Patches sind das Problem, sondern die Reaktionszeiten...

Aus dem Grunde rate ich von Vista ab.



Viele Grüße,

Werner


--
Co-Präsident der Microsoft Windows-Devision Kevin Johnson: »Let’s
continue to impress customers and partners with our innovation, and
drive satisfaction to levels we’ve never achieved before.«
Reply With Quote
  #6 (permalink)  
Old 04-11-2007
Helmut Wippermüller
 

Posts: n/a
Re: Patch Day April 2007
Werner Zumwinkel schrieb:

> Aus dem Grunde rate ich von Vista ab.


So ein Unsinn!!
Hast Du damals auch von XP abgeraten? Da war es nämlich am Anfang sehr
viel schlimmer.
Vista deshalb zu verteufeln ist albern ...

Helmut
Reply With Quote
  #7 (permalink)  
Old 04-11-2007
Michael H. Fischer
 

Posts: n/a
Re: Patch Day April 2007
Werner Zumwinkel schreibselte am 11. Apr 2007:

> Aus dem Grunde rate ich von Vista ab.


Kannst du dich endlich mal entscheiden, warum du von Vista nun abraten
willst? Auf einmal ist es nicht mehr das bse, bse DRM?

Ach ja, du verwendest Thunderbird. Schaun wir doch mal spasseshalber, wie
lange es dort vom gemeldeten sicherheitsrelevanten Bug bis zur
fehlerbereinigten Version dauert...

https://bugzilla.mozilla.org/show_bug.cgi?id=364319
Reported: 2006-12-18 23:56 PDT by Nelson Bolyard
Modified: 2007-02-23 13:28:29 PDT

https://bugzilla.mozilla.org/show_bug.cgi?id=362735
Reported: 2006-12-04 08:29 PDT by G30rgi
Modified: 2007-03-20 17:41:54 PDT

Beides Fixes, die erst in 1.5.10 enthalten sind, der am 02.03.2007
verffentlicht wurde. Beides Fixes, die fr Sicherheitslcken entwickelt
wurden, die seit Dezember 06 bekannt waren. Beides Fixes fr kritische
Sicherheitslcken.

Von https://bugzilla.mozilla.org/show_bug.cgi?id=344228 sollte man ja gar
nicht erst reden...
Reported: 2006-07-11 05:45 PDT by Jesse Ruderman
Modified: 2007-04-05 13:31:48 PDT

Was ist doch gleich dein Punkt?

Michel H. Fischer
--
Freeware und Antworten rund um NT/W2K/XP: http://www.derfisch.de/
Neu: http://www.freewi.de Das Freeware_wiki
Windows Tuning Mythen: http://www.derfisch.de/Tuning-Mythen.html
Reply With Quote
  #8 (permalink)  
Old 04-11-2007
A. Winkler
 

Posts: n/a
Re: Patch Day April 2007

"Siegfried Veit" <Nur.fuer.Spam@t-online.de> schrieb im Newsbeitrag
news:evh9jg$uha$02$1@news.t-online.com...
> "Werner Zwirnpickel" klimperte folgendes
>
> [Mll fachgerecht entsorgt]
>
>
> Wei dein Vater eigentlich,
> dass du stndig an seinen PC rumspielst?
>
> Knntest du nicht zur Abwechselung mal was ntzliches machen,
> z.B. vorm Zug springen oder dich erschieen!
>
> *SCNR*
>
> --
> Bitte nur in NewsGroup antworten.
> Email wird nicht gelesen!



Hinter den fahrenden Zug oder unter die Schwebebahn ist humaner. Wer soll
das Zeug denn sonst wegrumen?


Gru
Andreas

Reply With Quote
  #9 (permalink)  
Old 04-11-2007
Werner Zumwinkel
 

Posts: n/a
Re: Patch Day April 2007
Michael H. Fischer schrieb:
>
> Ach ja, du verwendest Thunderbird. Schaun wir doch mal spasseshalber, wie
> lange es dort vom gemeldeten sicherheitsrelevanten Bug bis zur
> fehlerbereinigten Version dauert...
>
> https://bugzilla.mozilla.org/show_bug.cgi?id=364319
> Reported: 2006-12-18 23:56 PDT by Nelson Bolyard
> Modified: 2007-02-23 13:28:29 PDT


Der erste Patch wurde hier bereits nach _14 Minuten_! (ausgeschrieben:
nach vierzehn Minuten Ausrufungszeichen) in Bugzilla veröffentlich. Nach
allen Tests wurde der Status zu diesem Report am 05.Januar 207 auf FIXED
gesetzt. Dies entnehme ich aus Deiner genannten Bugzilla-Webseite.

Schade dass Du mangelhaft recherchierst und anscheinend Deine Links
nicht selber durchliest. Weiter finde ich es schade, dass Du ein simples
Bugtrace-Tool weder verstehst, noch bedienen kannst; wo Du doch
vorgibst, ein erfahrener Anwender zu sein.

>
> https://bugzilla.mozilla.org/show_bug.cgi?id=362735
> Reported: 2006-12-04 08:29 PDT by G30rgi
> Modified: 2007-03-20 17:41:54 PDT


Der erste Patch wurde auf Deiner genannten Seite bereits am 6.12.
veröffentlicht. Weiteres erspare ich mir, ohne noch einmal alles zu
wiederholen.

Schade dass MS die Einträge seines Bugtrace Tools nicht veröffentlicht.
Mich würde vor allem folgender Report interessieren:

http://golem.de/0704/51603.html

> Von https://bugzilla.mozilla.org/show_bug.cgi?id=344228 sollte man ja gar
> nicht erst reden...
> Reported: 2006-07-11 05:45 PDT by Jesse Ruderman
> Modified: 2007-04-05 13:31:48 PDT
>


Siehe oben...und ich benutze keinen Macintosh.

> Was ist doch gleich dein Punkt?


Für Thunderbird habe ich nicht 329,95 EUR bezahlt.


Viele Grüße,

Werner


--
Co-Präsident der Microsoft Windows-Devision Kevin Johnson: »Let’s
continue to impress customers and partners with our innovation, and
drive satisfaction to levels we’ve never achieved before.«
Reply With Quote
  #10 (permalink)  
Old 04-11-2007
A. Winkler
 

Posts: n/a
Re: Patch Day April 2007

"Werner Zumwinkel" <werner.zw2006@arcor.de> schrieb im Newsbeitrag
news:461c9f8c$0$23145$9b4e6d93@newsspool1.arcor-online.net...
>
> Nicht die Patches sind das Problem, sondern die Reaktionszeiten...
>
> Aus dem Grunde rate ich von Vista ab.
>


Hallo,

ist doch alles künstlich hochgespielt. Und nimm mal einfach an, Mitte
Dezember waren die DVDs schon gepresst - und nu?

Das gleiche Theater gab es beim Erscheinen von XP, welches nun das
meistgenutzte Betriebssystem ist. Vista ist seit seinem Erscheinen doppelt
so oft verkauft worden wie XP in der Zeitspanne. Du hältst es sowieso nicht
auf.

Gruß
Andreas

Reply With Quote
Reply


Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

vB code is On
Smilies are On
[IMG] code is On
HTML code is Off
Trackbacks are On
Pingbacks are On
Refbacks are Off

Similar Threads
Thread Thread Starter Forum Replies Last Post
Brief: Second Patch Tuesday coming for April Steve Security News 0 04-06-2007 20:24
Brief: Second Patch Tuesday coming for April Steve Security News 0 04-06-2007 10:50
Off the wire: Microsoft gets back on the patch train for April Steve Security News 0 04-06-2007 03:42
April Fools Day pranksters: Are we having fun yet? Steve Security News 0 04-02-2007 12:03
April 1: DST phase 2 and April Fools' Day, (Sat, Mar 31st) Steve Security News 0 03-31-2007 19:46




All times are GMT +1. The time now is 13:41.




Driver Scanner - Free Scan Now

Vistaheads.com is part of the Heads Network. See also XPHeads.com , Win7Heads.com and Win8Heads.com.


Design by Vjacheslav Trushkin for phpBBStyles.com.
Powered by vBulletin® Version 3.6.7
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.6.0 RC 2

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120