Mittwoch, 7. Januar 2009

entwickler.com Magazine Konferenzen Akademie Entwickler-Forum Jobbörse Bücher
Software & Support Verlag
Der Entwickler | dot.net magazin | Eclipse Magazin | Entwickler Magazin | Java Magazin | Linux Enterprise | PHP Magazin | CREATE OR DIE | Business Technology

Inhalt
Leser-CD
Profi-CD
Quellcodes
Ausgaben-Archiv
News-Übersicht
Topthemen-Übersicht
Online-Artikel
Forum-Highlights
Buch-Tipps
Direkt abonnieren
Preise & Verfügbarkeit
Aboservice
Profi-CD bestellen
Autor werden
Kontakt
News vorschlagen
Mediadaten
Kontakt



13.08.2008
Microsoft Patchday: 11 Bulletins schließen 26 Schwachstellen

Das hat sich gelohnt: Am August-Patchday hat Microsoft sechs als kritisch und fünf als wichtig eingestufte Security-Bulletins veröffentlicht, mit denen insgesamt 26 Schwachstellen geschlossen werden. Fünf der Bulletins betreffen verschiedene Komponenten von Microsoft Office, davon werden vier als kritisch eingestuft, mit denen 13 Schwachstellen geschlossen werden.

Eines müssen wir leider abziehen

Ursprünglich waren 12 Bulletins angekündigt, eines fehlt also: Das angekündigte Bulletin zum Media-Player. Laut Microsoft Security Response Center Blog wurde das Bulletin aus Qualitätsgründen nicht veröffentlicht, es wird dann wohl beim nächsten Patchday dabei sein.

Die Office-Bulletins

Fangen wir mit den besonders kritischen Schwachstellen bzw. den dazu gehörenden Bulletins an. Das sind meines Erachtens MS08-041 und MS08-042: Beide beheben schon seit längerem bekannte Schwachstellen, die bereits für gezielte Angriffe ausgenutzt wurden. MS08-041 schließt eine Schwachstelle im Snapshot Viewer für Microsoft Access: Der automatische Download von Dateien in beliebige Verzeichnisse durch das ActiveX-Control snapview.ocx erlaubt das Einschleusen beliebiger Programme. Microsoft stuft dieses Bulletin als kritisch ein, während MS08-042 aus unerfindlichen Gründen nur als 'Wichtig' eingestuft wird. Es korrigiert eine Schwachstelle in Word 2002 SP3 und 2003 SP3, die beim Öffnen präparierter .doc-Dateien die Ausführung beliebigen Codes erlaubt. Zu beiden Schwachstellen gibt es Einträge im Security Vulnerability Research & Defense Blog: MS08-041 : The Microsoft Access Snapshot Viewer ActiveX control und MS08-042 : Understanding and detecting a specific Word vulnerability.

Die restlichen Bulletins zu Office-Bestandteilen im Schnelldurchlauf: MS08-043 wird als kritisch eingestuft und beschreibt vier Schwachstellen in Excel für Windows und Mac OS X (übrigens das einzige Bulletin, das auch Mac OS X betrifft). Sie erlauben die Ausführung beliebigen Codes, Privilegieneskalation und das Ausspähen von Passwörtern. Auch zu diesem Bulletin gibt es einen Eintrag im Security Vulnerability Research & Defense Blog: MS08-043 : How to prevent this information disclosure vulnerability. Die Zero Day Initiative hat zu einer der Schwachstellen ein eigenes Advisory veröffentlicht.

Das Bulletin MS08-044 wird ebenfalls als kritisch eingestuft und betrifft fünf Schwachstellen in den Office-Filtern für EPS-, PICT-, BMP- und WPG-Dateien, die alle die Ausführung beliebigen Codes erlauben. Für eine davon gibt es von der Zero Day Initiative ein eigenes Advisory.

Auch das Bulletin MS08-051 wird als kritisch eingestuft. Es beschreibt drei Schwachstellen in PowerPoint und dem PowerPoint Viewer, alle erlauben die Ausführung beliebigen Codes.

Die Windows-Bulletins

In numerischer Reihenfolge die Bulletins zu Windows: MS08-046 beschreibt eine als kritisch eingestufte Pufferüberlauf-Schwachstelle im Image Color Management (ICM) System von Windows 2000, XP und Server 2003, die die Ausführung beliebigen Codes durch eine präparierte Bild-Datei erlaubt.

MS08-047 wird als wichtig eingestuft und schließt eine Schwachstelle in Windows Vista, Vista SP1 und Server 2008: Beim Importieren von IPsec-Policies aus Windows Server 2003 Domains in Windows Server 2008 Domains werden Einstellungen ignoriert und dadurch später Daten als Klartext übertragen.
Das ebenfalls als wichtig eingestufte Bulletin MS08-048 beschreibt eine Schwachstelle im Zusammenspiel von Outlook Express und Windows Mail mit dem Internet Explorer, durch die das Umgehen von Domain-Einschränkungen des Internet Explorers möglich ist.

Auch MS08-049 wird als wichtig eingestuft, es betrifft zwei Schwachstellen im Event-System von Windows 2000, XP, Server 2003, Vista und Server 2008, die entfernten, authentifizierten Benutzern die Ausführung beliebigen Codes mit höheren Benutzerrechten erlauben.

Je ein Bulletin für den Internet Explorer und den Messenger

Ein Bulletin fasst sechs Schwachstellen im Internet Explorer zusammen, die von Microsoft alle als kritisch eingestuft werden: MS08-045. Und was erlauben kritische Schwachstellen im Internet Explorer wohl? Genau: Die Ausführung beliebigen Codes durch präparierte Webseiten.

Das letzte noch fehlende Bulletin ist MS08-050: Als wichtig eingestuft, beschreibt es eine Schwachstelle im ActiveX-Control Messenger.UIAutomation.1 des Microsoft Windows Messenger, die einem entfernten Angreifer Status-Änderungen, das Ausspähen von Kontakt-Informationen und Zugangsdaten und das Initiieren von Audio- und Video-Chats ohne Wissen des Benutzers erlaubt. Das Security Vulnerability Research & Defense Blog hat auch dazu einen Eintrag: MS08-050 : Locking an ActiveX control to specific applications.

Und was sagt das ISC dazu?

Das Internet Storm Center hat wie immer eine Übersicht über die veröffentlichten Patches erstellt. Im Wesentlichen enthält die nichts besonderes. Lediglich bei MS08-041 gibt es einen besonderen Hinweis: 'This is a workaround by implementing a kill bit.' Seltsam, Microsoft schreibt im Bulletin 'The update removes the vulnerability by modifying the way the Microsoft Office Snapshot Viewer ActiveX Control handles saving of files.' Da Microsoft wissen sollte, was die jeweiligen Patches bewirken, würde ich da Microsoft mehr vertrauen als dem ISC. Mit anderen Worten: Wer bereits manuell das Kill-Bit gesetzt hat, sollte den Patch trotzdem installieren. Sollte das ISC Recht haben, wird dann eben das gesetzte Kill-Bit erneut gesetzt, was keine negativen Auswirkungen haben dürfte. Hat aber Microsoft Recht, wovon ich ausgehe, wird die Schwachstelle behoben, und das bereits gesetzte Kill-Bit verhindert weiterhin, dass eine Webseite das ActiveX-Control aufruft. Das ist allemal sicherer, als nur das Kill-Bit zu setzen.

Und nochmal zum ISC: Das Bulletin für den Internet Explorer, MS08-045, bekommt wieder die freundliche Aufforderung "PATCH NOW!". Das sollte besser auch für MS08-041 und MS08-042 gelten, die beide bereits ausgenutzte Schwachstellen betreffen. Und da bekanntlich auch für die anderen nun bekannt gewordenen Schwachstellen jederzeit mit Exploits zu rechnen ist, sollte man bei der Gelegenheit auch gleich die restlichen Bulletins durchgehen und notwendige Patches installieren.

Carsten Eilers

Übersicht der Meldungen auf 'Security aktuell':



eine Seite zurück
zurück		 an den Anfang der Seite
nach oben 		diesen News drucken
drucken		 diesen News weiterempfehlen
empfehlen		 ein Kommentar zu dieser News schreiben
kommentieren






Neuen Kommentar verfassen
Name:


Kommentar:


Bitte geben Sie die Buchstaben aus dem Bild als Bestätigung ein!
    Copyright © 2009 Software & Support Verlag GmbH. Haben Sie noch Fragen?                   Impressum  |  Datenschutz
 Software & Support Verlag GmbH