Es war ein “&” zu viel – bis zu 11 Updates für Microsoft-Kunden


Am 28 Juli bestätigte Microsoft, dass ein überflüssiges “&” in einer für das System essentiellen Bibliothek die Ursache für mehrere Angriffsmöglichkeiten auf die ActiveX-Komponente “MSVidCtl” war.


Das “&” war der Tippfehler eines Programmierers, dessen Team die veraltete und mit Fehlern behaftete Active Template Library (ATL) als Basis für die neue MSVicCtl nutzte. Die ATL war zum Glück nur eine intern verwendete und keine, die Entwicklern außerhalb von Microsoft vorlag.

ATL, beziehungsweise die erneuerte Komponente wird unter anderem von Internet Explorer und Visual Studio verwendet. Beide Programme erhielten  außerplanmäßig Updates. Normalerweise nutzt Microsoft den monatlich stattfindenden “Patchday”, um Updates zu verteilen.

Am kommenden Patchday (Dienstag) sollen fünf als kritisch ein gestufte sowie vier weitere Updates herausgegeben werden.

Mit diesen Updates sollen unter anderem Office, Internet Explorer (Add-On, um Excel-Arbeitsmappen im Internet Explorer öffnen zu können), Outlook Express, Media Player 10 und 11 gepatcht werden.

Das fehlerhafte ATL war auch die Ursache für die Anfälligkeiten von Adobe Flash Player und Adobe Shockwave Player. Beide Anwendungen wurden letzte Woche unter Zuhilfenahme einer neuen Version von ATL neu kompiliert und den Anwendern als automatisches Update bereitgestellt.


Mozilla behebt Lücken in Firefox 3.5 – viele Nutzer noch mit Version 3.0 unterwegs

Mozilla stellt heute Updates für Firefox 3.5 und 3.0 bereit, die drei sicherheitskritische Lücken beheben sollen, davon zwei, die bereits mit gezielten Angriffen ausgenutzt wurden.

Für die Version 3.0.13 werden zwei weitere Updates geliefert, die Bugs beheben sollen.

Firefox 3.0 wird noch bis Januar 2010 mit Updates versorgt. Danach sollten die Nutzer auf die dann aktuelle Version umsteigen.


Angreifern war es möglich, trotz gesicherter Verbindung Kennwörter und Sitzungsdaten auszuspähen und die Anwender zur Installation von Scareware oder anderer Malware zu bringen.

In Version 3.5 kommt hingegen eine neue Bibliothek für die Programmierung Network Security Services zum Einsatz, die für die SSL-Unterstützung benötigt werden. Diese Version ist von dem Problem nicht mehr betroffen.

Firefox hatte im Juli einem Marktanteil von 22,5 Prozent und gilt damit als viel genutzer und relevanter Browser, der immer häufiger ins Visier von Angreifern gerät.

Derzeit nutzen etwa 75 Prozent aller Firefox-Nutzer veraltete Versionen, der Rest verwendet die aktuellste Version 3.5. Insbesondere die Nutzer älterer Versionen sollten eine aktuelle Version des Browsers bei Mozilla herunterladen oder die im Menüpunkt “Hilfe” untergebrachte Update-Funktion nutzen.