Patch Dienstag: Sicherheit der Fokus als Microsoft, Oracle Patch Bugs

Es ist die Die meisten Patchday-Tage für Unternehmens-IT-Shops, bei denen sowohl Microsoft als auch Oracle wichtige Software-Updates veröffentlichen.

Microsoft hat am Dienstagmorgen 11 Sicherheitsupdates veröffentlicht, darunter auch Fixes für kritische Sicherheitslücken in Windows Active Directory, Internet Explorer und Excel und der Microsoft Host Integration Server, der Windows-Computer mit IBM-Großrechnern integriert.

Sicherheitsexperten sagen, dass das Internet Explorer-Update, das sechs Fehler im Browser behebt, zu beobachten ist. Das ist, weil es als kritisch für Internet Explorer 6-Benutzer mit Windows XP eingestuft wird - eine sehr häufige Konfiguration im Unternehmen.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Aber Kunden, die Windows Active ausführen Directory auf älteren Windows 2000-Rechnern sollte das MS08-060 Active Directory-Update an die Spitze ihrer Patch-Warteschlange verschieben, sagte Don Leatham, ein Director für Lösungen und Strategie bei Lumension Security. Da ein Active Directory-Server zum Festlegen von Berechtigungen für andere Computer und zum Verwalten von Benutzern im Netzwerk verwendet werden kann, wäre die Übernahme dieses Computers "der Heilige Gral für jemanden, der versucht, in ein Unternehmen einzudringen und ihn komplett zu stören" > Normalerweise sind Active Directory-Server an der Firewall blockiert, was bedeutet, dass ein Angreifer wahrscheinlich in einem internen Netzwerk sein muss, um einen Angriff zu starten, sagte Eric Schultze, Chief Technology Officer von Shavlik Technologies. Aber der Fehler "bedeutet, dass jeder interne, verärgerte Benutzer die vollständige Kontrolle über Windows 2000-Domänen und Domänencontroller übernehmen kann", sagte er per Sofortnachricht.

Dieses Problem wird jedoch dadurch gemildert, dass Microsoft keine Berichte darüber hat Die Sicherheitslücke wurde bei einem Angriff ausgenutzt. Es ist zwar wahrscheinlich, dass ein Angreifer den Windows 2000-Computer durch Ausnutzen dieses Fehlers zum Absturz bringen könnte, "aber es ist schwierig, funktionierenden Exploit-Code zur Remotecodeausführung zu entwickeln", so Microsoft auf seiner Website.

Insgesamt 20 Sicherheitsfehler wurden in den 11 Updates von Microsoft behoben. Es gab auch sechs weniger wichtige Updates, die von Microsoft als "wichtig" eingestuft wurden, für verschiedene Windows-Komponenten und einen "moderaten" Patch, der einen Fehler behebt, der einem Angreifer Informationen von einem Office-Benutzer abhören konnte.

Oracle-Sicherheitsupdates, voraussichtlich um 13 Uhr Pacific time enthält Korrekturen für 36 Fehler in einer Reihe von Oracle-Produkten, einschließlich der Flaggschiff-Datenbank des Unternehmens, des Anwendungsservers, der E-Business Suite sowie der WebLogic-Server- und Entwicklungstools. Fehlerbehebungen sind auch für die Produkte JD Edwards und PeopleSoft geplant.

Es ist ungewöhnlich, dass sowohl Microsoft als auch Oracle am gleichen Tag Patches herausbringen. Die Sicherheitsupdates von Microsoft erscheinen am zweiten Dienstag eines jeden Monats, bekannt als Patch Tuesday in der Branche. Aber die Patches von Oracle sind eine vierteljährliche Angelegenheit, die am Dienstag in der Mitte des Monats geliefert wird. In der Regel werden die Oracle-Patches am dritten Dienstag des Monats bereitgestellt, aber in diesem Monat konvergierten die Microsoft- und Oracle-Veröffentlichungstermine.

Die Microsoft-Updates vom Dienstag kamen mit ein wenig mehr Informationen für die Kunden des Unternehmens. Sie enthielten einen neuen Abschnitt namens "Exploitability Index", der es Windows-Benutzern erleichtern soll, herauszufinden, welche Fehler am wahrscheinlichsten von Hackern ausgenutzt werden.

Microsoft hat nun alle Sicherheitsupdates mit den folgenden Beschreibungen bewertet: "Konsequenter Exploit-Code wahrscheinlich", "Inkonsistenter Exploit-Code wahrscheinlich" oder "Funktionierender Exploit-Code unwahrscheinlich".

Das Unternehmen gab an, dass Exploit-Code wahrscheinlich für Fehler in den kritischen Internet Explorer-, Microsoft Host Integration Server- und Excel-Updates verantwortlich ist. Einer der Internet Explorer-Bugs, der einem Angreifer erhöhte Privilegien auf einem Windows-Rechner verschaffen könnte, wurde bereits öffentlich bekannt gegeben, aber angeblich nicht in realen Angriffen eingesetzt, so Microsoft.

Eine weitere Premiere: Microsoft gab bestimmten Sicherheitspartnern in diesem Monat einen frühzeitigen Zugriff auf ihre Updates, damit sie die Angriffserkennung in ihre Software einbringen konnten, da die Patches am Dienstag veröffentlicht wurden.