Der Entwickler - Das Magazin für professionelle IT-Lösungen

Am Oktober-Patchday hat Microsoft wie angekündigt elf Security-Bulletins veröffentlicht, von denen vier als insgesamt kritisch eingestuft wurden. Sechs weitere wurden als important/wichtig eingestuft, eines als moderat. Wie diese Einstufungen zustande gekommen sind, verrät ein Eintrag im Security Vulnerability Research & Defense Blog. Insgesamt schließen die Bulletins 20 Schwachstellen, von denen nur zwei zuvor öffentlich bekannt waren.

Außer den elf Security-Bulletins wurde ein Security Advisory veröffentlicht, mit dem für verschiedene ActiveX-Controls das Kill-Bit gesetzt wird. Betroffen sind mehrere ActiveX-Controls von Microsoft, für die bereits zuvor Security Bulletins veröffentlicht wurden. Das Setzen der Kill-Bits erfolgt als zusätzliche 'Defense in Depth'-Maßnahme. Außerdem wird das Kill-Bit für drei ActiveX-Controls von Drittherstellern gesetzt, die um diese Hilfe gebeten haben: Microgaming Download Helper, System Requirements Lab und PhotoStockPlus Uploader Tool.

4 kritische Bulletins

Das Security Bulletin MS08-057 betrifft drei vorher nicht öffentlich bekannte Schwachstellen in Excel, von denen auch Microsoft Office for Mac und der SharePoint Server betroffen sind. Alle drei Schwachstellen erlauben die Ausführung beliebigen Codes. Ursache sind Schwachstellen beim Verarbeiten eines VBA Performance Cache, beim Laden von Excel-Objekten und beim Parsen von Formeln.

Das Bulletin MS08-058 fasst mehrere Schwachstellen im Internet Explorer zusammen: Fünf zuvor nicht veröffentlichte und eine bereits öffentlich bekannte Schwachstelle erlauben das Ausspähen sensitiver Informationen und die Ausführung beliebigen Codes.

Mit MS08-059 wird eine vorher nicht veröffentlichte Schwachstelle im Host Integration Server 2000, 2004 und 2006 geschlossen. Sie erlaubt die Umgehung der Authentifizierung des SNA-RPC-Servers durch einen entsprechend präparierten RPC-Request. Zu dieser Schwachstelle gibt es ergänzende Informationen im Security Vulnerability Research & Defense Blog: MS08-059 : Running Microsoft Host Integration Server 2006 as non-admin. Die Schwachstelle wurde über iDefense gemeldet, deren eigenes Advisory ebenfalls bereits veröffentlicht wurde.

MS08-060 betrifft eine zuvor nicht öffentlich bekannte Schwachstelle in Active Directory unter Microsoft Windows 2000 Server SP4. Sie erlaubt die Ausführung beliebigen Codes durch präparierte LDAP- oder LDAPS-Requests, wenn der betroffenen Rechner als Domain Controller verwendet wird.

6 wichtige Bulletins

Das Security Bulletin MS08-061 beschreibt drei Schwachstellen im Windows-Kernel, darunter eine bereits zuvor öffentlich bekannte. Alle erlauben lokale Privilegieneskalation. Ursache sind Schwachstellen beim Verarbeiten von Windows-Properties, eine Double-Free-Schwachstelle beim Verarbeiten von Systemaufrufen von mehreren Threads und der Weitergabe von Benutzerdaten an den Kernel. Zu diesem Bulletin gibt es ergänzende Informationen im Security Vulnerability Research & Defense Blog: MS08-061 : The case of the kernel mode double-fetch.

Bulletin MS08-062 betrifft den Internet Printing Service: Eine bisher unveröffentlichte Integerüberlaufschwachstelle erlaubt authentifizierten Benutzern die Ausführung beliebigen Codes. Die Schwachstelle wird laut Microsoft bereits für gezielte Angriffe ausgenutzt.

Mit MS08-063 wird eine bisher unveröffentlichte Schwachstelle im Server Message Block (SMB) Protocol korrigiert. Sie erlaubt die Ausführung beliebigen Codes durch Pakete mit entsprechend präparierten Dateinamen darin.

Bulletin MS08-064 betrifft den Virtual Address Descriptor: Eine zuvor nicht veröffentlichte Schwachstelle erlaubt einem authentifizierten Benutzer die Ausführung beliebigen Codes mit höheren Benutzerrechten.

MS08-065 beschreibt eine zuvor unveröffentlichte Schwachstelle im nicht per Default installierten Message Queuing Service (MSMQ) unter Microsoft Windows 2000. Sie erlaubt die Ausführung beliebigen Codes durch einen präparierten RPC-Request. Auch zu dieser Schwachstelle gibt es im Security Vulnerability Research & Defense Blog weitere Informationen: MS08-065 : Exploitable for remote code execution?.

Das letzte als wichtig eingestufte Bulletin ist MS08-066: Eine bisher nicht öffentlich bekannte Schwachstelle im Ancillary Function Driver erlaubt lokale Privilegieneskalation. Betroffen sind nur Windows XP und Server 2003. Auch zu dieser Schwachstelle gibt es im Security Vulnerability Research & Defense Blog einen Eintrag; MS08-066 : Catching and fixing a ProbeForRead / ProbeForWrite bypass.

Einmal "Moderat"

Das als "Moderat" eingestufte Security Bulletin ist MS08-056: Eine bisher nicht öffentlich bekannte Schwachstelle im cdo://-URI-Handler erlaubt Cross-Site-Scripting.

Folgt ein Exploit-Mittwoch oder Donnerstag?

Microsoft versucht sich auf der Übersichtsseite zum Patchday als Hellseher: Unter dem Punkt 'Exploitability Index' wird für jede einzelne Schwachstelle die Wahrscheinlichkeit für das Erscheinen eines Exploits angegeben. Das ist aber keine Zauberei, sondern Ergebnis mehrerer Überlegungen, z.B. wie schwer die Entwicklung eines Exploits ist. Ob sich die Vorhersagen bewahrheiten, wird die Zukunft zeigen.

Das meint das ISC:

Das Internet Storm Center hat wie immer eine Übersicht über die veröffentlichten Patches erstellt, die diesmal keine besonderen Überraschungen enthält. Auffallend ist nur die Einstufung des von Microsoft quasi nur "nebenbei" erwähnten Security Advisories zum Setzen der Kill-Bits als für Clients kritisch.

Carsten Eilers

	Der Entwickler \| dot.net magazin \| Eclipse Magazin \| Entwickler Magazin \| Java Magazin \| Linux Enterprise \| PHP Magazin \| CREATE OR DIE \| Business Technology

4 kritische Bulletins

6 wichtige Bulletins

Einmal "Moderat"

Folgt ein Exploit-Mittwoch oder Donnerstag?

Das meint das ISC:

Übersicht der Meldungen auf 'Security aktuell':