zurück zum Artikel

Microsoft veröffentlicht VML-Patch außer der Reihe [Update]

Über den automatischen Windows Update Service liefert Microsoft derzeit einen Patch aus, der den Fehler in der Windows-Implementierung der Vector Markup Language (VML) entschärfen soll. Diese Lücke wurde in den letzten Tagen vermehrt ausgenutzt [1], um über präparierte Web-Seiten Hintertüren und Keylogger zu installieren.

Weitere Informationen darüber, was der Patch genau bewirkt, stehen derzeit noch nicht zur Verfügung. So ist unter anderem nicht klar, ob es nur eine automatisierte Version des Workarounds [2] ist, die verwundbare Bibliothek vgx.dll zu deaktivieren. Anwender sollten also mit dem Reaktivieren warten, bis Microsoft die angekündigte Beschreibung [3] veröffentlicht. Patches für die kritischen Lücken in Office [4] und daxctle.ocx im IE [5] stehen noch aus.

Update:
Der Patch ersetzt zumindest unter Windows XP die betroffene Bibliothek vgx.dll durch eine neue Version (von 6.0.2900.2180 auf 6.0.2900.2997). Für Windows 2000 liefert Microsoft eine überarbeitete Version des Kernel-Updates aus (MS06-049 [6]), die Probleme [7] mit der Komprimierung von NTFS beheben soll. (ju [8])


URL dieses Artikels:
http://www.heise.de/-166003

Links in diesem Artikel:
[1] https://www.heise.de/meldung/Massenhack-ueber-Luecke-in-Hosting-Management-Software-cPanel-165351.html
[2] https://www.heise.de/meldung/Microsoft-gibt-Empfehlungen-zu-VML-Schwachstelle-164501.html
[3] http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms06-055.mspx
[4] https://www.heise.de/meldung/Neuer-Trojaner-fuer-Zero-Day-Luecke-in-MS-Office-2000-158496.html
[5] https://www.heise.de/meldung/Gefahr-durch-DirectAnimation-im-Internet-Explorer-162880.html
[6] http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms06-049.mspx
[7] http://support.microsoft.com/kb/920958/EN-US/
[8] mailto:ju@ct.de