Patch-Day bei Microsoft: Zehn Updates stopfen zwölf Lücken

Wie angekündigt hat Microsoft zehn Security Bulletins nebst Patches veröffentlicht, um zwölf Sicherheitslücken zu schließen. Drei davon schätzen die Redmonder als kritisch ein, da ein Angreifer darüber die komplette Kontrolle über ein System erhalten kann. So findet sich im Internet Explorer ein Fehler in der Verarbeitung von Bildern im PNG-Format, über die sich Schadcode einschleusen lässt. Dazu genügt bereits der Besuch einer präparierten Web-Seite. Auch in der HTML-Hilfe steckt ein Bug, über den ein Web-Server ein System beim Aufruf einer präparierten Seite infizieren kann.

Kritisch ist auch eine Schwachstelle im SMB-Protokoll: Nur wenige spezielle Pakete sollen genügen, um Herr über ein fremdes System zu werden. Allerdings dürfte dies in der Regel nur eine Bedrohung im LAN darstellen, da SMB/CIFS von der Unternehmens-Firewall blockiert wird. Geschützt sind auch Anwender von Windows-XP-SP2, wo die Windows Firewall standardmäßig aktiv ist. Sofern nicht irgendwelche Verzeichnisse freigegeben wurden, kann von außen ein Angreifer nicht auf die SMB/CIFS-Dienste zugreifen. Betreiber eines Datei-Servers werden um die Installation des Updates aber nicht umhin kommen.

Immerhin noch als "Important" stuft Microsoft eine Lücke im Web Client Service ein. Zwar lässt sich auch damit die Kontrolle über den Rechner gewinnen, der Angreifer muss dazu aber am System angemeldet sein. Denkbar wäre beispielsweise, dass Malware solch eine Lücke ausnutzt, um aus einem eingeschränkten Nutzerkonto auszubrechen und sich System-Privilegien zu verschaffen. Ein Bulletin widmet sich einer vergleichsweise harmlosen Cross-Site-Scripting-Schwachstelle in Outlooks Web Access für Exchange 5.5.

Etwas bedrohlicher wirkt da schon ein Fehler in Outlook Express. Präparierte News-Server können einen Buffer Overflow provozieren und darüber Programme in einen Client einbringen. Warum die Redmonder dies nur als "Important" und nicht als "Critical" klassifizieren ist unklar. Eine weitere Lücke im Step-by-Step Interactive Training erlaubt einem Angreifer zwar auch Malware in ein System zu schleusen. Standardmäßig ist dieses Programm aber nicht installiert -- falls doch, genügt ein Klick auf einen bestimmten Link in einer Mail, um Trojaner untergeschoben zu bekommen.

Als "Moderate" schätzen die Bulletins eine Spoofing-Schwachstelle im Microsoft Agent ein, über die sich vetrauliche Inhalte auf Web-Seiten vorgaukeln lassen. Des Weiteren offenbart der Telnet-Client unter bestimmten Umständen Informationen wie Variablennamen, die ein Angreifer für spätere Attacken auswerten könnte.

Der ISA Server 2000 wird gleich mit zwei Patches geflickt, damit bestimmte HTTP-Header den Web-Cache nicht mehr durcheinandern bringen. Zudem lässt sich der vordefinierte Filter austricksen, um eine direkte NetBIOS-Verbindung zu ISA-Server aufzubauen. Von diesen Lücken sind auch der Small Business Server 2000 und 2003 Premium Edition betroffen.

Zu beachten ist, dass die Patches zum Teil noch weitere Modifikationen vornehmen, die in der Sektion Frequently Asked Questions dokumentiert sind. So setzt das Internet-Explorer-Update zu MS05-025 das Kill-Bit auf einige ActiveX-Controls, verändert das Verhalten des Popup-Blockers und verhindert die Anzeige von XBM-Dateien, die damit nicht mehr unterstützt werden.

Alle Patches lassen sich über die automatische Update-Funktion oder den Windows-Update-Server installieren. Zusätzlich stehen sie auch einzeln zum Download bereit. Eine vollständige Übersicht über alle heute herausgegebenen Bulletins und betroffenen Windows-Versionen gibt Microsoft im Microsoft Security Bulletin Summary für Juni 2005. (dab)