This is a machine translation. The original page (in English) is available here.
Windows
Mac OS
Mobile

Neueste news: September 19th, 2016 - Wir haben Hinzugefügt, neue Kategorien für die überwachung der Produkte Test: Mikrofon-und Webcam-Aufnahmen, usw... RSS-Feed

Home>Nachrichten>Microsoft eilt Kupplung patch für 'deep' - bug in Windows, apps von Drittanbietern

AnyKeylogger für Mac

Microsoft eilt Kupplung patch für 'deep' - bug in Windows, apps von Drittanbietern

Die Notfall-patches Microsoft plant, rush diese Woche wird fix ein Fehler zieht sich durch mehrere wichtige Komponenten von Windows und eine unbekannte Anzahl von Drittanbieter-Anwendungen, nach ein paar security-Forscher.

Am Dienstag, Microsoft schlagen werden, die einen permanent patch auf einem video-streaming-ActiveX-Steuerelement von Internet Explorer (IE), adressieren eine Schwachstelle, die es hat ungefähr bekannt, aber nicht behoben wird, für mehr als ein Jahr. Vor zwei Wochen Microsoft hat ein "kill bit" update, dass, eher als die zugrunde liegende problem anzugehen, das ActiveX-Steuerelement deaktiviert zu stymie Angriffe wurden bereits im Gange ist. Es ist auch geplant, ein Update für Visual Studio, Microsofts beliebte Entwicklungs-Plattform.

Obwohl Microsoft hat nicht geschrieben was es genau wird der patch mit den zwei "out-of-band-updates" -- der Begriff für Sicherheits-updates veröffentlicht, die außerhalb des Unternehmens einmal-a-Monats-Zeitplan -- Anfang dieses Monats Forscher zeigte mit dem Finger auf die Active Template Library (ATL), ein code, der "Bibliothek" nicht nur durch die Microsoft-eigenen Entwickler, aber auch software von Drittanbietern, die Programmierer, um Zugang zu einigen Funktionen innerhalb von Windows.

Zwei Deutsche Forscher-Thomas Dullien, Geschäftsführer und head of research bei Zynamics GmbH, und Dennis Elser -- gegraben, in die die Fehler innerhalb des ActiveX-Steuerelements, das "msvidctl.dll" Datei-streams video-Inhalten. Sie fand, dass es stammte aus einer einfachen Programmierung Fehler in einer Funktion namens "ATL::CComVariant::ReadFromStream."

"Statt der übergabe eines Zeigers auf eine Daten-Puffer IStream::Read, nahm es die Adresse von einem (kleinen) lokalen Variablen und übergibt diese Adresse als Ausgabe-Puffer IStream::Read, zusammen mit einer Länge Lesen aus dem stream zuvor", sagte Dullien, wer geht von den moniker "Halvar Flake" beim schreiben über Sicherheitslücken. "Jemand deutlich verwirrt," fügte er in einem blog-Eintrag gepostet 9. Juli.

Das Ergebnis? Obwohl Microsoft abgeschaltet aktuellen Angriffe gegen die ActiveX-Steuerung, die Programmierung Fehler vorhanden ist in mehrere andere Windows-Dateien-mindestens fünf in XP, mindestens 13 in Vista -- darunter auch solche, die entscheidend für IE, Windows Media Player und Terminal Services.

"Der Fehler ist eigentlich viel "tiefer" als die meisten Menschen realisieren", sagte Dullien, "[und] das kill-bit-Update ist offensichtlich nicht ausreichend, da gibt es bestimmt noch viele andere Möglichkeiten der Auslösung des Problems."

Darüber hinaus sagte Dullien und Elser, third-party-Entwickler haben verwendet die gleiche fehlerhafte Bibliothek, erstellen Sie Ihre eigenen Anwendungen. "Die Fehler haben könnte, weaseled seinen Weg in third-party-Komponenten, wenn jemand außerhalb von Microsoft hatte Zugriff auf die Defekten ATL-Versionen", sagte Dullien. "Wenn dies passiert ist, könnte Microsoft versehentlich eingeführt Sicherheitslücken in Produkten von Drittanbietern." Dullien behauptet, dass ältere Versionen von Adobe Flash enthielt die Schwachstelle.

In einer follow-up-blog-Eintrag am Freitag, Dullien spekuliert, dass am Dienstag fixes "patch eine Reihe von Bibliotheken (ATL ?) in Visual Studio" sowie die ActiveX "msvidctl.dll" Datei von IE.

Hinzufügen Kraftstoff zu Spekulationen, Brian Krebs von der Washington Post zitiert Dullien Letzte Woche sagte Microsoft genannt hatte, und bat ihn, nicht weiter zu kommentieren auf die Schwachstelle.

Weder Dullien oder Elser reagierte auf Anfragen für eine Stellungnahme am Sonntag.

Andere security-Forscher entweder lehnte eine Stellungnahme oder angenommen Dullien ist auf dem richtigen Weg.

"Ich glaube nicht, dass ich Kommentar-spezifisch, aber ich bin bereit zu sagen, dass, wenn Microsoft geht an die Mühe machen ein" out-of-band [update] die Leute sollten wohl darauf achten, und patch, sobald Sie können," sagte Roger Thompson, chief research officer beim security-software-Anbieter AVG Technologies, die über instant-messaging am Samstag. Vor zwei Wochen, Thompson warnte, dass die ActiveX-Schwachstelle wurde ein heißer Kandidat für eine weitere Conficker-Attacke.

"Wenn das, was [Dullien] sagte auf seinem blog ist auch nur annähernd korrekt ist, und wenn sein Anruf von Microsoft glaubwürdig ist, dann können Verbraucher und Microsoft-Partner haben einige ernsthafte Arbeit vor uns", warnte Andrew Storms, director of security operations bei nCircle Network Security, in einer e-mail Sonntag.

Aufruf der out-of-band-updates "stand-up-and-pay-Aufmerksamkeit moment," Stürme auch empfohlen, dass die Unternehmen testen die patches gründlich, bevor Sie bereitgestellt werden. "Die Unternehmen wollen noch ein paar Tage warten und sehen, ob Ihre anderen software-Anbieter haben zu sagen," drängte er. "Grund für die Vorsicht? Es scheint, dass einige Unternehmen mit der unseligen Microsoft-Funktion und wenn gepatcht, [,], können Sie möglicherweise einige unerwartete Konsequenzen mit sich."

Stürme angeboten werden, ein weiterer Grund für Microsoft ist Dienstag patchen. "Viele der gleichen Sicherheits-Profis in Vegas auf der Black Hat, die in sich selbst haben kann, Starthilfe Microsoft Notfall-patch-release," sagte er. Black Hat, die der Startschuss am Samstag, läuft bis Donnerstag. Dullien, als Halvar Flake, war geplant, die Durchführung einer Trainingseinheit auf der Black Hat-nach der Konferenz planen.

Thompson Abgeordnete Stürmen. "Ich denke, das nächste große Ding zu beobachten, um zu sehen, was kommt bei Schwarzen Hut", sagte er. "Ich weiß wirklich nicht nichts, aber ich bin mir ziemlich sicher, dass Hacker Hacker sind."

"Mehr zu kommen am Dienstag, wenn wir mit den patches, natürlich", Schloss Stürmen.

Microsoft wird das out-of-band-updates am Dienstag, Juli 28, über seine üblichen Windows Update und Windows Server Update Services (WSUS) Mechanismen. Wenn es löst Sie auf dem gleichen Zeitplan wie dem monatlichen update, sollten Sie um 1 Uhr ET.

Später am Tag -- bei beiden 4 Uhr und 7 Uhr ET -- Microsoft ist Gastgeber einer webcast zu nehmen die Fragen der Kunden. In der Regel, Microsoft-hosts wie webcasts am Tag nach es liefert patches.
Home>Nachrichten>Microsoft eilt Kupplung patch für 'deep' - bug in Windows, apps von Drittanbietern
WICHTIG!!!! Installation von computer-monitoring-tools auf Computern, die Sie nicht besitzen oder haben keine Berechtigung zum monitor kann gegen lokale, Staatliche oder bundesstaatliche Gesetz.
Suggest translation