Patch Day April 2007

Nach dem ausgefallenen Patchtag im März kam es für Microsoft im April
richtig ****e. So ****e, dass ein außerplanmäßiger Patch für eine Lücke
im GDI Subsystem bereits eine Woche vor dem planmäßigen Patchtag
veröffentlicht werden musste. Ein Patch für eine Lücke, die bereits seit
Dezember bei MS bekannt war, ein Patch, der bereits seit mindestens drei
Monaten bei MS quasi in der Schublade lag, ein Patch, der eine seit
längerem ausgenutzte Sicherheitslücke stopfte, ein Patch für eine
Sicherheitslücke, die das Ausführen von beliebigem Code bereits bei
puren Anzeigen einer Webseite(nahezu unabhängig vom verwendeten
Browser) oder einer Mail erlaubt. Und was ist die Begründung aus dem
Hause MS dafür, dass der Patch erst jetzt kam? Sinngemäß: "Da die Lücke
sich im GDI System befindet, einer essentiellen Komponente, müssten vor
der Veröffentlichung besonders intensive Tests durchgeführt werden, um
Inkompatibilitäten mit anderer Software zu vermeiden".

Wie intensiv diese Tests wohl waren, sieht man daran, das es sehr kurz
nach Verfügbarkeit des Hotfix einen Patch für den Patch gab, der
Probleme mit Elster und dem Realtec Sound Manager fixte…

Hoffen wir, dass die Patche, die es heute zum offiziellen Patchtag gibt,
noch intensiver getestet wurden. Die offizielle Zusammenfassung gibt es
hier: http://www.microsoft.com/technet/sec.../ms07-apr.mspx

http://www.microsoft.com/technet/sec...MS07-017.mspx: Wurde
bereits letzte Woche außerplanmäßig veröffentlicht und beseitigt
insgesamt sieben Lücken im GDI System. Einige davon sind nur lokal
ausnutzbar, wenn der Angreifer über eine Account auf dem System verfügt,
die gefährlichste Lücke jedoch entsteht durch die fehlerhafte
Verarbeitung von .ani oder Icon Dateien und kann bereits beim Besuch
einer Webseite oder das Öffnen einer Mail zur Ausführung von beliebigem
Code genutzt werden. Dabei ist es unerheblich, welcher Browser genutzt
wird, da alle grafischen Browser auf die entsprechenden
Windowsfunktionen zurückgreifen.

Nach der Installation dieses Patches kann es zu Problemen mit einigen
Anwendungen kommen, die in http://support.microsoft.com/kb/935448/DE/
genannt sind. Dort ist auch ein passender Patch zum Patch verlinkt,
dessen Installation eigentlich grundsätzlich präventiv erfolgen sollte.

http://www.microsoft.com/technet/sec...MS07-018.mspx:
Betrifft nur Admins, die den MS Content Management Server einsetzen und
beseitigt in selbigen zwei Lücken, darunter eine Cross–Site Scripting
Verwundbarkeit.

http://www.microsoft.com/technet/sec...MS07-019.mspx: Ein
Patch für Windows XP2 mit aktivem "Universal Plug and Play" Dienst. Per
Default startet dieser Dienst zwar nicht automatisch, durch die
Installation von Drittanbietersoftware kann es jedoch dazu kommen, dass
der Dienst unbemerkt mitgestartet wird. Im Normallfall verhindert die XP
Firewall Zugriffe von aussen auf den UPnP Dienst, auch müsste sich ein
Angreifer im selben Subnet wie das angegriffene System befinden,
trotzdem empfiehlt sich die Installation des Patches, denn immerhin ist
darüber das Ausführen von beliebigem Code mit den Rechten des "Local
Serviceaccounts" möglich.

http://www.microsoft.com/technet/sec...MS07-020.mspx: Bei
Windows 2000 und XP erlaubt der MS Agent beim Besuch einer "bösartigen
Webseite das Ausführen von Schadcode mit den Rechten des angemeldeten
Users. Benutzer, die ständig mit Adminrechten unterwegs sind, haben im
Schadensfall so richtig verloren.

http://www.microsoft.com/technet/sec...MS07-021.mspx: Damit
sich Vista Benutzer nicht in falscher Sicherheit wiegen, gibt es neben
MS07-017 auch noch diesen Patch für sie, der für alle noch offiziell
unterstützte Windows Versionen verfügbar ist und drei Probleme im CSRSS
(Client/Server Runtime SubSystem) beseitigt. Teilweise natürlich wieder
remote durch den Besuch der passenden Webseite ausnutzbar und dann auch
zur kompletten Ãœbernahme des Systems geeignet. Kommentare zu "Das
sicherste Windows aller Zeiten" und der UAC verkneife ich mir an dieser
Stelle.

http://www.microsoft.com/technet/sec...MS07-022.mspx: Zu
guter letzt noch etwas für W2K und XP Nutzer. Ein lokal angemeldeter
User kann sich (wieder einmal) höhere Rechte verschaffen, wenn dieser
Patch nicht installiert ist.

Und das war es im April Ganz ohne Aprilscherz. Viel Spass beim Patchen.
Ach ja, natürlich gibt es auch eine neue Version des "Tools zum
Entfernen bösartiger Software".

MfG
Michael H. Fischer
--
Freeware und Antworten rund um NT/W2K/XP: http://www.derfisch.de/
Neu: http://www.freewi.de Das Freeware Wiki zum Mitmachen
Windows Tuning Mythen: http://www.derfisch.de/Tuning-Mythen.html

Michael H. Fischer schrieb:

>
> Und das war es im April Ganz ohne Aprilscherz. Viel Spass beim Patchen.
> Ach ja, natürlich gibt es auch eine neue Version des "Tools zum
> Entfernen bösartiger Software".
>
> MfG
> Michael H. Fischer

http://www.nosebrain.de/wp-content/p...te_1_sajaf.jpg


Viele Grüße,

Werner

"Werner Zwirnpickel" klimperte folgendes

[Müll fachgerecht entsorgt]


Weiß dein Vater eigentlich,
dass du ständig an seinen PC rumspielst?

Könntest du nicht zur Abwechselung mal was nützliches machen,
z.B. vorm Zug springen oder dich erschießen!

*SCNR*

--
Bitte nur in NewsGroup antworten.
Email wird nicht gelesen!

Werner Zumwinkel wrote:
> Michael H. Fischer schrieb:
>
>> Und das war es im April Ganz ohne Aprilscherz. Viel Spass beim Patchen.
>> Ach ja, natürlich gibt es auch eine neue Version des "Tools zum
>> Entfernen bösartiger Software".
>>
>> MfG
>> Michael H. Fischer
>
> http://www.nosebrain.de/wp-content/p...te_1_sajaf.jpg
>

Starker Tobak! Aber amüsant... allerdings überhaupt nicht spezifisch
für die dort beworbene Firma, sondern sehr weit verbreitet - von der
Politik ganz zu schweigen.

Es ist unfair, die Politik an Wahlversprechen zu messen (Müntefering,
z. B.
<http://de.answers.yahoo.com/question/index?qid=20060830041546AA7ifXV>)
- es ist überhaupt unfair, irgend jemanden an seinen/ihren
Versprechungen zu messen.

Roy

Roy Coorne schrieb:
> Es ist unfair, die Politik an Wahlversprechen zu messen (Müntefering, z.
> B.
> <http://de.answers.yahoo.com/question/index?qid=20060830041546AA7ifXV>)
> - es ist überhaupt unfair, irgend jemanden an seinen/ihren
> Versprechungen zu messen.
>
> Roy


Aber so langsam geht es los. Fehler über Fehler....

Die kritischen Sicherheitslücken in Vista waren bereits seit dem 15.
Dezember _2006_ bekannt. Also mehr als sechs Wochen vor dem öffentlichen
Verkaufsstart von Vista.

http://www.determina.com/security.re...harderror.html

Am 22. Dezember schreibt heise: "Microsoft nimmt dem eigenen Bekunden
nach die Schwachstelle ernst."

http://www.heise.de/security/news/meldung/82902

Wie ernst man dieses schwerwiegende Sicherheitsproblem genommen hat,
zeigt sich dadurch, dass der eigenen Kundschaft der Patch erst heute
geliefert wird.

"Mittlerweile räumt der Betriebssystemhersteller ein, dass sich der
Fehler auch über eine Webseite auslösen ließe. Folglich ist der Fehler
für Windows [...] Vista nun als kritisch eingestuft."

http://www.heise.de/newsticker/meldung/88060

Nicht die Patches sind das Problem, sondern die Reaktionszeiten...

Aus dem Grunde rate ich von Vista ab.



Viele Grüße,

Werner


--
Co-Präsident der Microsoft Windows-Devision Kevin Johnson: »Let’s
continue to impress customers and partners with our innovation, and
drive satisfaction to levels we’ve never achieved before.«

Werner Zumwinkel schrieb:

> Aus dem Grunde rate ich von Vista ab.

So ein Unsinn!!
Hast Du damals auch von XP abgeraten? Da war es nämlich am Anfang sehr
viel schlimmer.
Vista deshalb zu verteufeln ist albern ...

Helmut

Werner Zumwinkel schreibselte am 11. Apr 2007:

> Aus dem Grunde rate ich von Vista ab.

Kannst du dich endlich mal entscheiden, warum du von Vista nun abraten
willst? Auf einmal ist es nicht mehr das böse, böse DRM?

Ach ja, du verwendest Thunderbird. Schaun wir doch mal spasseshalber, wie
lange es dort vom gemeldeten sicherheitsrelevanten Bug bis zur
fehlerbereinigten Version dauert...

https://bugzilla.mozilla.org/show_bug.cgi?id=364319
Reported: 2006-12-18 23:56 PDT by Nelson Bolyard
Modified: 2007-02-23 13:28:29 PDT

https://bugzilla.mozilla.org/show_bug.cgi?id=362735
Reported: 2006-12-04 08:29 PDT by G30rgi
Modified: 2007-03-20 17:41:54 PDT

Beides Fixes, die erst in 1.5.10 enthalten sind, der am 02.03.2007
veröffentlicht wurde. Beides Fixes, die für Sicherheitslücken entwickelt
wurden, die seit Dezember 06 bekannt waren. Beides Fixes für kritische
Sicherheitslücken.

Von https://bugzilla.mozilla.org/show_bug.cgi?id=344228 sollte man ja gar
nicht erst reden...
Reported: 2006-07-11 05:45 PDT by Jesse Ruderman
Modified: 2007-04-05 13:31:48 PDT

Was ist doch gleich dein Punkt?

Michel H. Fischer
--
Freeware und Antworten rund um NT/W2K/XP: http://www.derfisch.de/
Neu: http://www.freewi.de Das Freeware_wiki
Windows Tuning Mythen: http://www.derfisch.de/Tuning-Mythen.html

"Siegfried Veit" <Nur.fuer.Spam@t-online.de> schrieb im Newsbeitrag
news:evh9jg$uha$02$1@news.t-online.com...
> "Werner Zwirnpickel" klimperte folgendes
>
> [Müll fachgerecht entsorgt]
>
>
> Weiß dein Vater eigentlich,
> dass du ständig an seinen PC rumspielst?
>
> Könntest du nicht zur Abwechselung mal was nützliches machen,
> z.B. vorm Zug springen oder dich erschießen!
>
> *SCNR*
>
> --
> Bitte nur in NewsGroup antworten.
> Email wird nicht gelesen!


Hinter den fahrenden Zug oder unter die Schwebebahn ist humaner. Wer soll
das Zeug denn sonst wegräumen?


Gruß
Andreas

Michael H. Fischer schrieb:
>
> Ach ja, du verwendest Thunderbird. Schaun wir doch mal spasseshalber, wie
> lange es dort vom gemeldeten sicherheitsrelevanten Bug bis zur
> fehlerbereinigten Version dauert...
>
> https://bugzilla.mozilla.org/show_bug.cgi?id=364319
> Reported: 2006-12-18 23:56 PDT by Nelson Bolyard
> Modified: 2007-02-23 13:28:29 PDT

Der erste Patch wurde hier bereits nach _14 Minuten_! (ausgeschrieben:
nach vierzehn Minuten Ausrufungszeichen) in Bugzilla veröffentlich. Nach
allen Tests wurde der Status zu diesem Report am 05.Januar 207 auf FIXED
gesetzt. Dies entnehme ich aus Deiner genannten Bugzilla-Webseite.

Schade dass Du mangelhaft recherchierst und anscheinend Deine Links
nicht selber durchliest. Weiter finde ich es schade, dass Du ein simples
Bugtrace-Tool weder verstehst, noch bedienen kannst; wo Du doch
vorgibst, ein erfahrener Anwender zu sein.

>
> https://bugzilla.mozilla.org/show_bug.cgi?id=362735
> Reported: 2006-12-04 08:29 PDT by G30rgi
> Modified: 2007-03-20 17:41:54 PDT

Der erste Patch wurde auf Deiner genannten Seite bereits am 6.12.
veröffentlicht. Weiteres erspare ich mir, ohne noch einmal alles zu
wiederholen.

Schade dass MS die Einträge seines Bugtrace Tools nicht veröffentlicht.
Mich würde vor allem folgender Report interessieren:

http://golem.de/0704/51603.html

> Von https://bugzilla.mozilla.org/show_bug.cgi?id=344228 sollte man ja gar
> nicht erst reden...
> Reported: 2006-07-11 05:45 PDT by Jesse Ruderman
> Modified: 2007-04-05 13:31:48 PDT
>

Siehe oben...und ich benutze keinen Macintosh.

> Was ist doch gleich dein Punkt?

Für Thunderbird habe ich nicht 329,95 EUR bezahlt.


Viele Grüße,

Werner


--
Co-Präsident der Microsoft Windows-Devision Kevin Johnson: »Let’s
continue to impress customers and partners with our innovation, and
drive satisfaction to levels we’ve never achieved before.«

"Werner Zumwinkel" <werner.zw2006@arcor.de> schrieb im Newsbeitrag
news:461c9f8c$0$23145$9b4e6d93@newsspool1.arcor-online.net...
>
> Nicht die Patches sind das Problem, sondern die Reaktionszeiten...
>
> Aus dem Grunde rate ich von Vista ab.
>

Hallo,

ist doch alles künstlich hochgespielt. Und nimm mal einfach an, Mitte
Dezember waren die DVDs schon gepresst - und nu?

Das gleiche Theater gab es beim Erscheinen von XP, welches nun das
meistgenutzte Betriebssystem ist. Vista ist seit seinem Erscheinen doppelt
so oft verkauft worden wie XP in der Zeitspanne. Du hältst es sowieso nicht
auf.

Gruß
Andreas