Microsoft: Kritische Lücke 2 Jahre bekannt

[gullinews]

Dem Softwarekonzern Microsoft soll eine ernst zu nehmende Sicherheitslücke in der Webkomponente Microsoft Office mehr als zwei Jahre lang bekannt gewesen sein.

Bereits im März 2007 hat die Zero Day Initiative (ZDI) auf die existierende Schwachstelle aufmerksam gemacht. Peter Vreugdenhil hatte dieses Problem vor geraumer Zeit ausfindig machen können. Im Zuge des vergangenen Patch Days hat Microsoft diese Sicherheitslücke aus der Welt geschaffen. Immerhin gab es dazu mittlerweile auch dringenden Handlungsbedarf, hieß es. Diversen Berichten zufolge wurde der Bug in der Webkomponente von Microsoft Office (OWC) verstärkt angegriffen.


weiterlesen

[markus4321]

Diese Lücken gab und gibt es auch in Windows.

Man kann sie auf dem Schwarzmarkt kaufen.
Allerdings werden sie geschlossen, alsbald sie vermehrt ausgenutzt werden.

Theoretisch könnte allerdings bereits jeder Windows Rechner kompromittiert sein, wenn man Original-Packete modifiziert und durch einen Alogarythmus "komplett unsichtbar" Kommandos verschickt.

Erst wird eine Verbindung hergestellt, dann sucht Windows immer automatisch nach Druckern auf anderen Rechnern, freigaben usw ...

Da ist ne Menge Luft für kriminelle Aktivitäten, für den Ottonormalverbraucher und AnnamöchtegernLeet alles unvorstellbar.

mfg,
Markus

[robsta77]

ein Netzwerk infiziert und schon gehts weiter ins nächste

[Chummer]

wenn man Original-Packete modifiziert und durch einen Alogarythmus "komplett unsichtbar" Kommandos verschickt.

Aloga- was? Also wenn hier nicht ein Blinder von Farbe erzählt..

[TRON2]

Ist schon seltsam warum sich MS solange Zeit gelassen hat und dann erst reagiert wenns "viele ausnutzen". Kommt mir auch irgentwie bekannt vor. Naja mit Windows 7 wird alles besser ....

Heist also Kauf dir stets die Neuen Produkte von MS, dann hast ruhe für 2 Jahre bis dann die Lücken von den "vielen Ausnutzern" ausgenutzt werden. Man da fühlst dich dich gleich viel Sicherer.

[Toronto]

Diese Lücken gab und gibt es auch in Windows.

Du weißt aber schon wo genau die Lücke sitzt?
Die gibt es unter Win sicherlich nicht...

Man kann sie auf dem Schwarzmarkt kaufen.

Aha...

Theoretisch könnte allerdings bereits jeder Windows Rechner kompromittiert sein, wenn man Original-Packete modifiziert und durch einen Alogarythmus "komplett unsichtbar" Kommandos verschickt.

Von was für Paketen sprichst du? Vielleicht IP-Pakete? Erkläre mir bitte wie du eine "Alogarythmus" (== Hawaiianische Tanzart?) dafür benutzt, um IP-Pakete "komplett unsichtbar" zu schalten.

Erst wird eine Verbindung hergestellt, dann sucht Windows immer automatisch nach Druckern auf anderen Rechnern, freigaben usw ...

Womit wird eine Verbindung hergestellt? Wechen Nutzen bringt es einem Angreifer, wenn er weiß, dass es in dem Netzwerk noch einen Drucker gibt?

Da ist ne Menge Luft für kriminelle Aktivitäten, für den Ottonormalverbraucher und AnnamöchtegernLeet alles unvorstellbar.

Du gehörst zu der letzten Gruppe? In der Regel setzt kein Ottonormalverbraucher OWC ein.

[c64er]

Mich wundert im Hause Microsoft garnichts mehr ...
Das lassen wir an dieser Stelle mal so kommentarlos stehen.

[.drunken]

Ich finde, dafür das MS teuer und totall übertrieben/schätzt wird, einfach nur schlecht. MS ist einfach eine RIESENgroße Baustelle, hier geht was schief, da geht was schief, Bill übernimmt sich mit dem Teil einfach, bringt alle paar Jahre was neues raus und muß die alten Kamellen noch ausbügeln der Vorgänger.

[Shodan_v2-3]

Ein Kommando, komplett unsichtbar dank Camouflage.

Zum Thema: Manipulierte Orginalteile: und wie bekommst du die dann unter die Leute? Per Torrent? RS?
Selber Schuld, wenn man sein Windows da her hat...

[kilobyte]

Mich wundert im Hause Microsoft garnichts mehr ...
Das lassen wir an dieser Stelle mal so kommentarlos stehen.

Ja sicher, so was kommt ja auch nur bei Microsoft vor, nicht war?

Deswegen erschien auch heute folgende Meldung: Kritische Lücke im Linux-Kernel betrifft alle Versionen seit 2001

[Shodan_v2-3]

Es gibt hier einen kleinen Unterschied:

Der ausnutzbare Code ist seit 2001 drin, die Möglichkeit damit an Root-Rechte zu kommen ist aber erst vor kurzem jemandem aufgefallen und wird schon sehr bald in einem offiziellen Update gefixt sein.

Bei MS ist es seit 2 Jahren bekannt, dass es da eine Sicherheitslücke gibt und es wird erst jetzt etwas dagegen unternommen.

Sicherheitslücken, die seit 2001 keiner entdeckt hat, gibt es wahrscheinlich in beiden Systemen noch dutzende. Genaue Zahlen kann ich, aus offensichtlichen Gründen, keine nennen

[TRON2]

Deswegen erschien auch heute folgende Meldung: Kritische Lücke im Linux-Kernel betrifft alle Versionen seit 2001

in diesem Artikel ging es nunmal um MS

[Bensonatic]

Kann man unter Windows eigentlich immer noch eine Exe in .scr umbenennen und sie als Bildschirmschoner einrichten um Systemrechte zu bekommen (alles ohne vorher Root-/Adminrechte zu haben)?

Das es unter XP noch ging hab ich letztens erst in einen Youtube-Video gesehen aber wie schauts mit Vista und 7 aus?

Glaube die ersten "Bildschirmschonerviren" gab es ca unter win3.11 oder täusche ich mich gerade (falls nicht wären das mehr als 8 Jahre).

BTT: Ich werde immer mehr in meinem Entschluss bestätigt MS-Produkte nur noch zu benutzen wenn ich irgendein Programm benutzen MUSS das nur unter Windows läuft, abgesehen davon ist MS-Office in meiner persönlichen Wertschätzung noch 4-5 Stufen unter Windows.

[Toronto]

Kann man unter Windows eigentlich immer noch eine Exe in .scr umbenennen und sie als Bildschirmschoner einrichten um Systemrechte zu bekommen (alles ohne vorher Root-/Adminrechte zu haben)?

Ich bin mir ziemlich sicher, dass das nicht mehr möglich ist. Ab Vista sind die Dateiendungen nicht mehr so statisch...
Werde es zu Hause gleich erstmal ausprobieren...

abgesehen davon ist MS-Office in meiner persönlichen Wertschätzung noch 4-5 Stufen unter Windows.

Mhm, das kann ich nicht nachvollziehen. Ich finde gerade Office hat sich in den letzten Jahren zu einem überaus starken Programm(sammlung) entwickelt.
Alleine das Ribbon...davon schwärme ich nach 3 Jahren noch...

[kilobyte]

Kann man unter Windows eigentlich immer noch eine Exe in .scr umbenennen und sie als Bildschirmschoner einrichten um Systemrechte zu bekommen (alles ohne vorher Root-/Adminrechte zu haben)?

Bei Windows 7 auf jeden Fall nicht, die Datei wird weiterhin als Exe behandelt. Unter Vista wird es wohl ähnlich sein, da beide Systeme sich sehr ähneln.

Du könntest aber mal den Link zu dem Video posten, davon höre ich nämlich zum ersten mal. Auch Google konnte mir zu dem Phänomen nichts sagen, sehr komisch

[TRON2]

Ja link wäre cool. Hab ich echt schon vergessen. Ging damals auch mit autofunktion von cd. hmm lang lang is her.

[Bensonatic]

Tut mir leid, aber ich kann das Video nicht mehr finden, ich bin da auch nur darauf gekommen weil ich zufällig mitbekommen habe das in der Schule des Sohnes eines Bekannte diverse "uber-hacking Youtube-Links" getauscht wurden um das Grundrecht auf Counterstrike aufrecht zu erhalten und ich bitte um Verständnis das ich mich nicht nocheinmal durch hunderte "Wie komme ich an 'net user' und was kann ich damit machen?'" Videos kämpfe

Allerdings komme ich auf einen entsprechenden Guide wenn ich mit meiner Lieblingssuchmaschine nach "logon.scr cmd hack" suche. Falls das nicht geht könnte man auch unter Umständen noch spass mit "at 19:48 /interactive "cmd.exe"" haben (nach der Ausführung halt im Taskmanager schauen mit welchen Rechten der neue cmd dann läuft). Das ganze war allerdings kurz vor oder nach SP2, wär schön zu wissen ob das noch läuft da wie gesagt dieses "failure by design" in der einen oder anderen Form länger als 8 Jahre existent war.

Warum ich Office schlimmer als Windows finde?

1.Eine GUI kann meinetwegen in der Standarteinstellung Augenkrebs verursachen und 2/3 des Bildschirm einnehmen aber ich will das dann vernünftig Umstellen können. Und nein, sich automatisch ausblendende Leisten sind mir noch weniger lieb als Augenkrebs. Und nochmals nein, ich will für das Einstellen meiner OfficeGUI keine Programmiersprache lernen. Ok, persönliches Empfinden.

2.Gabs da nicht vor 2-3 Monaten irgendeine kritische Sicherheitslücke in Office 2003 die nicht gefixt wurde mit dem Kommentar "Holt euch halt das neue"? Irgendwie verständlich, aber da es mit OpenOffice eine für mich adequate Alternative gibt ist das Produkt für mich unten durch.

Edit: Um nicht zusehr in die MS Bashing-Schiene zu geraten. Windows gibt mir persönlich zu wenig Freiheiten und MSOffice geht zumindest für meine Arbeitsweise und allgemein für meine Einstellung was GUI betrifft(so viel wie nötig, so unauffällig wie möglich) in die falsche Richtung.

[>Dev<]

Meintest du vllt folgendes video?

http://www.youtube.com/watch?v=xZhiFssOuz4

den trick kannte ich jetzt auch noch nicht, werd mir das ganze mal angucken.

[TRON2]

eher nö