Am Juni-Patchday hat Microsoft wie angekündigt insgesamt 10 Security-Bulletins veröffentlicht, die insgesamt 35 Schwachstellen beheben, darunter 26 zuvor nicht bekannte.
Ein Eintrag im Blog des Microsoft Security Response Center (MSRC) weist darauf hin, das die aktuell für Angriffe ausgenutzte DirectX-Schwachstelle noch nicht behoben werden konnte, da die Qualitätssicherung noch nicht mit den Patches zufrieden ist. Der Eintrag enthält auch ein Video mit Erläuterungen zu den veröffentlichten Patches sowie einige weitere Informationen zu den Bulletins.
6 kritische Bulletins
MS09-018: Active Directory
Das Security Bulletin MS09-018 beschreibt zwei Schwachstellen in Active Directory, die zuvor nicht öffentlich bekannt waren. Betroffen ist Active Directory unter Windows 2000 Server SP4 und Windows Server 2003 SP2. Außerdem ist Active Directory Application Mode (ADAM) unter Windows XP Professional SP2/SP3 und Server 2003 SP2 betroffen.
Eine der Schwachstellen erlaubt unter Windows 2000 Server durch präparierte LDAP- oder LDAPS-Requests die Ausführung beliebigen Codes, die andere unter allen betroffenen Systemen ebenfalls durch präparierte LDAP- oder LDAPS-Requests DoS-Angriffe.
MS09-019: Internet Explorer
Das Bulletin MS09-019 ist für den Internet Explorer zuständig: Sieben bisher unveröffentlichte Schwachstellen erlauben die Ausführung beliebigen Codes und den Zugriff auf Cache-Daten, eine bereits seit Juni 2007 öffentlich bekannte Schwachstelle durch eine Race-Condition den Zugriff auf Webseiten anderer Domains in anderen Fenstern.
Zwei Einträge in Microsofts Security Research & Defense Blog liefern weitere Informationen zu den Schwachstellen: MS09-019 (CVE-2009-1140): Benefits of IE Protected Mode, additional Network Protocol Lockdown workaround und MS09-019 (CVE-2009-1532): The "pwn2own" vulnerability.
MS09-021: Excel
Sieben bisher unveröffentlichte Schwachstellen in Microsoft Excel werden durch das Bulletin MS09-021 beschrieben. Betroffen sind Microsoft Office 2000 SP3, XP SP3, 2003 SP3 und 2007 SP1/SP2 für Windows sowie die Mac-Versionen Office 2004 for Mac und 2008 for Mac. Sechs der Schwachstellen werden für Office 2000 SP3 als kritisch eingestuft, die siebte ist darin nicht vorhanden. Für alle anderen Programme werden alle Schwachstellen als wichtig eingestuft, sofern sie betroffen sind.
Für drei der Schwachstellen gibt es eigene Advisories der Entdecker: Zwei von Secunia Research (Microsoft Excel Record Parsing Array Indexing Vulnerability und Microsoft Excel String Parsing Integer Overflow Vulnerability) und eins von den TELUS Security Labs (Microsoft Office Excel Malformed Records Stack Buffer Overflow).
MS09-022: Windows Print Spooler
Das Bulletin MS09-022 behandelt drei zuvor nicht öffentlich bekannte Schwachstellen im Windows Print Spooler. Von den drei Schwachstellen betrifft eine nur Windows 2000 SP4, dies ist gleichzeitig die einzige als kritisch eingestufte Schwachstelle, sie erlaubt die Ausführung beliebigen Codes. Die anderen Schwachstellen betreffen außerdem Windows XP SP2/SP3, Server 2003 SP2, Vista samt SP1/SP2 und Server 2008 und erlauben das als "moderat" eingestufte Ausspähen sensitiver Informationen bzw. eine je nach System als "moderat" oder "wichtig" eingestufte Privilegieneskalation.
MS09-024: Works Converter
Eine bisher unbekannte Pufferüberlauf-Schwachstelle im Microsoft Works Converter wird mit dem Bulletin MS09-024 bekannt gemacht. Beim Umwandeln eines präparierten Word-Dokuments kann beliebiger Code ausgeführt werden. Betroffen sind Microsoft Office 2000 SP3, XP SP3, 2003 SP3 und 2007 SP1 sowie Microsoft Works 8.5 und 9. Die Schwachstelle wird für Office 2000 SP3 als kritisch eingestuft, für alle anderen Programme als wichtig.
In Microsofts Security Research & Defense Blog wird darauf hingewiesen, das die Gefahr bei installierten Word geringer ist, da Dateien im betroffen Format erst nach Rückfrage geöffnet werden: MS09-024: Lower risk if you have Microsoft Word installed.
MS09-027: Word
MS09-027 beschreibt zwei bisher nicht veröffentlichte Schwachstellen in Microsoft Word, die beide die Ausführung beliebigen Codes erlauben. Betroffen sind für Windows Microsoft Office 2000 SP3, XP SP3, 2003 SP3 und 2007 SP1/SP2 sowie für Mac OS X die Versionen Office 2004 for Mac und 2008 for Mac. Eine der Schwachstellen wird für Office 2000 SP3 als kritisch eingestuft, für alle anderen betroffenen Programme als wichtig. Die zweite Schwachstelle betrifft Office 2000 SP3 nicht, für alle anderen betroffenen Programme wird sie als wichtig eingestuft.
Drei wichtige Bulletins
MS09-020: Internet Information Server
Das Bulletin MS09-020 behandelt eine bisher unveröffentlichte Schwachstelle beim Verarbeiten von WebDAV-Requests durch den IIS 5.0, die das Umgehen der Authentifizierung erlaubt. Außerdem wird die bereits seit Mitte Mai bekannte Schwachstelle beim Verarbeiten von WebDAV-Requests durch IIS 5 und 6 behoben, die das Umgehen der Authentifizierung für Passwortgeschützte Verzeichnisse erlaubt.
MS09-025: Windows-Kernel
Das Bulletin MS09-025 behandelt zwei bereits öffentlich bekannte und zwei bisher unveröffentlichte Schwachstellen im Windows-Kernel, die alle Privilegieneskalation erlauben. Betroffen sind Windows 2000 SP4, XP SP2/SP3, 2003 SP2, Vista samt SP1/SP2 und Server 2008 samt SP2.
MS09-026: RPC
MS09-026 behandelt eine bereits zuvor öffentlich bekannte Schwachstelle in RPC: Die RPC Marshalling Engine aktualisiert ihren internen Zustand nicht korrekt und erlaubt dadurch eine Privilegieneskalation. Betroffen sind Windows 2000 SP4, XP SP2/SP3, Server 2003 SP2, Vista samt SP1/SP2, Server 2008 samt SP2.
In Microsofts Security Research & Defense Blog wird beschrieben, wie von der Schwachstelle betroffene Programme erkannt werden können: MS09-026: How a developer can know if their RPC interface is affected.
Ein moderates Bulletin - MS09-023: Windows Search
Das Security Bulletin MS09-023 beschreibt eine bisher unveröffentlichte Schwachstelle in Windows Search. Die Schwachstelle erlaubt das Ausspähen sensitiver Informationen, wenn eine präparierte Datei das erste Suchergebnis ist oder eine präparierte Datei als Preview geöffnet wird. Betroffen sind nur Windows XP SP2/SP3 und Server 2003 SP2.
Ein Eintrag in Microsofts Security Research & Defense Blog liefert weitere Informationen zur Schwachstelle: MS09-023: Windows Search and MSHTML Host Apps.
Auch Adobe patcht...
Adobe hat am ersten Patchday mindestens dreizehn kritische Schwachstellen in Adobe Reader und Acrobat für Mac OS X und Windows behoben. Patches für Unix/Linux wurden für den 16. Juni angekündigt.
Das 'mindestens dreizehn' ergibt sich aus der Aussage "Additionally, this update resolves Adobe internally discovered issues." im Bulletin, nachdem die 13 Schwachstellen mit CVE-ID aufgeführt wurden. Anscheinend hält man es bei Adobe, anders als bei Microsoft, nicht für nötig, intern entdeckte Schwachstellen eine CVE-ID zuteilen zu lassen und sie damit öffentlich zu machen. Angesichts der Tatsache, das oft Exploits aus veröffentlichten Patches rückentwickelt wurden, ein ziemlich nutzloses Unterfangen.
Bewertung der Schwachstellen
Das Internet Storm Center hat wie immer eine Übersicht über die veröffentlichten Patches erstellt. Die Bewertung des ISC weicht dabei von Microsofts Einstufung eigentlich nur in einem Fall wesentlich ab: MS09-023, die Schwachstelle in Windows Search, wird von Microsoft als moderat eingestuft, vom ISC für Clients als wichtig. Ansonsten gibt es die üblichen Änderungen für Anwendungsprogramme, die für Server weniger wichtig sind als für Clients, sowie in umgekehrter Richtung für Serverdienste.
Auch für die Adobe-Patches gibt es einen Eintrag im Handler's Diary des ISC. Darin wird darauf hingewiesen, das eine Reihe der Schwachstellen im JBIG2-Filter gefunden wurde, und das solche Schwachstellen in der Vergangenheit häufig ausgenutzt wurden. Dementsprechend ist auch jetzt mit dem baldigen Erscheinen von Exploits zu rechnen.
Von Symantec wurden die Schwachstellen ebenfalls kommentiert, außerdem wurde ein Video mit Erläuterungen zu den Patches bereit gestellt:
Fazit
Wie immer gilt: Installieren Sie die Patches so schnell wie möglich. Und wenn sie schon dabei sind: Auch Apple hat ein Update veröffentlicht: Safari 4.0 korrigiert 51 Schwachstellen mit CVE-ID und eine ohne, darunter einige ziemlich alte.
Carsten Eilers
Übersicht der Meldungen auf 'Security aktuell':
- MS09-018: Active Directory
- MS09-019: Internet Explorer
- MS09-019: Aktualisiert: Internet Explorer
- MS09-020: Internet Information Server
- MS09-020: Aktualisiert: Internet Information Server
- MS09-021: Excel
- MS09-022: Windows Print Spooler
- MS09-023: Windows Search
- MS09-024: Microsoft Works Converter
- MS09-025: Windows-Kernel
- MS09-026: RPC
- MS09-027: Word
- Adobe Acrobat
- Adobe Reader
Kommentare