Nachdem Microsoft im Februar den lang erwarteten Server 2008 offiziell
veröffentlicht hat und das Vista SP1 für jedermann vor der Tür steht,
erhofft man sich im Hause MS wohl den endgültigen Marktdurchbruch von
Vista auch im Unternehmenseinsatz. Denn erst im Zusammenspiel mit Server
2008 kann Vista seine Stärken und Vorteile gegenüber XP in Punkto
Sicherheit und zentrale Wartbarkeit wirklich ausspielen
Vielleicht will MS die Klientel der Unternehmenskunden in Punkto
"sicherstes MS OS aller Zeiten" nicht verschrecken und konzentriert sich
deswegen diesen Monat ausschließlich auf Patches für Office. Schade,
dass keine für Access dabei sind, denn schließlich werden dort
vorhandene Lücken bereits aktiv ausgenutzt, wie man in
http://www.heise.de/security/news/meldung/print/104432 nachlesen kann.
Wie Hohn klingt in diesem Zusammenhang, dass MS keinen Patch dafür
veröffentlich will und deis damit begründet, dass das Access Dateiformat
neben anderen nun einmal ein inhärent unsicheres sei. Siehe
http://support.microsoft.com/kb/925330 (Überblick zum Thema unsichere
Dateitypen in Microsoft-Produkten) Man fragt sich angesichts dessen,
warum überhaupt Patche für andere MS Office Produkte veröffentlicht
werden. Wie dem auch sei, die offizielle Zusammenfassung des
März-Patchday gibt es hier:
http://www.microsoft.com/technet/sec.../ms08-mar.mspx
http://www.microsoft.com/technet/sec.../ms08-014.mspx
Stopft ganze sieben Lücken in MS Excel von Version 2000 bis hoch zur
aktuellen Version 2007. Wenigstens Excel 2003 SP3 und 2007 SP1 sind nach
vorläufiger Lesart nicht betroffen; dafür bei den anderen auch die Apple
Mac Versionen. Im Endeffekt laufen alle Lücken darauf hinaus, dass es
reicht, mit einen ungepatchten Excel eine entsprechend vorbereitete
Excel Datei zu öffnen, um beliebigen Schadcode zur Ausführung zu
bringen.
http://www.microsoft.com/technet/sec...MS08-015.mspx:
Ein Must Have für alle Outlook Benutzer. *Nicht* Outlook Express, nur
Outlook. Damit reicht ein Klick auf einen passenden Mailto: Link in
einer Mail oder auf einer Webseite und schon ist der Rechner verseucht.
http://www.microsoft.com/technet/sec...MS08-016.mspx:
Ein Sammelpatch für die meisten Office Produkte, der zwei Probleme
beseitigt. Bei beiden reicht es aus, eine entsprechend manipulierte
Datei zu öffnen, "um beliebigen Code mit den Rechten des Anwenders zur
Ausführung zu bringen". Ja, ich weiss, ich wiederhole mich. Hat mal
jemand eine andere Formulierung für diesen Sachverhalt für mich parat?
Ach ja, es reicht bereits aus, den Excel Viewer 2003 installiert zu
haben, das komplette Office oder Excel ist gar nicht nötig. Office 2007
dagegen ist für diese beiden Angriffe nicht anfällig.
http://www.microsoft.com/technet/sec...MS08-017.mspx:
Zu guter Letzt noch ein Patch für zwei Lücken in den "Microsoft Office
Web Components". Die werden nicht mit den OfficePaketen zusammen
installiert, sondern kommen auch in diversen Serverprodukten wie dem
BiZTalk Server oder, besonders unangenehm, dem ISA 2000 Server SP2 für
dessen Reportingfunktionalität zum Einsatz. Anwender von Office 2000
SP3, Office XP SP3, Visual Studio 2002 und 2003 sowie des BizTalk Server
2000/2003, des Commerce Server 2000 und des ISA 2000 SP2 sollten diesen
Patch schnellstmöglich installieren.
Das war es für diesen Monat. Viel Spaß beim Testen und Patchen. Und
nicht vergessen: Wie immer gibt es auch eine neue Version des "Tools zum
Entfernen bösartiger Software".
Mit freundlichen Grüßen
Michael H. Fischer
Crosspost, F'up microsoft.public.de.windows.vista.sonstiges
--
Freeware und Antworten rund um W2K/XP/Vista:
http://www.derfisch.de/
Windows Tuning Mythen:
http://www.derfisch.de/Tuning-Mythen.html
Linear Mode
