Microsofts Januar-Patchday: 3:5

Mit drei gepatchten Lücken verteilt über zwei Sicherheits-Updates und mindestens fünf bestätigten, aber noch nicht gefixten Sicherheitsproblemen begeht Microsoft den ersten Patchday des neuen Jahres.

Das Datenbank-Modul MDAC bekommt laut MS11-002 zwei Updates. Eines der beiden ist als kritisch eingestuft und lässt sich ohne Mitwirkung des Anwenders ausnutzen, um Systeme mit Schadsoftware zu infizieren. Die Sicherheitsexperten stufen die Gefahr, dass das tatsächlich gelingt, als sehr hoch ein (Exploitability Index 1). Diese Lücke, von der alle Windows-Versionen betroffen sind, nutzte offenbar Peter Vreugdenhil bereits beim Pwn2own-Wettbewerb im März 2010 um Internet Explorer 8 auf Windows 7 trotz ASLR und DEP zu knacken. Die zweite MDAC-Lücke steckt im API und ist nur in Kombination mit Applikationen anderer Hersteller ausnutzbar. Welche das sein könnten, verrät Microsoft jedoch nicht.

Das in MS11-001 beschriebene Update betrifft lediglich Vista-Anwender und wird auch nur als wichtig eingestuft. Offenbar lädt der Windows Backup Manager Bibliotheken bevorzugt aus dem gleichen Verzeichnis in dem auch die .wbcat-Datei liegt, über die er gestartet wurde. Da dieses Verzeichnis auch im Netz liegen könnte, kann der Klick auf einen passenden Link dorthin zur Infektion des Systems führen.

Einen Überblick über die Januar-Patches gibt Microsofts Zusammenfassung. Insbesondere das MDAC-Update sollte man schnellst möglich einspielen. Allerdings genügt das nicht, um Windows-Systeme vollständig abzudichten.

Denn die mittlerweile fünf, in einem Blog-Eintrag aufgeführten, bekannten Sicherheitslücken, haben bislang keinen Patch erhalten. Besonders kritisch ist das seit Weihnachten bekannte CSS-Loch des Internet Explorer, das auch bereits im Internet für gezielte Angriffe genutzt wird. Dagegen schützt das Enhanced Mitigation Experience Toolkits (EMET), dessen Handhabung der heise-Security-Artikel Schadensbegrenzer beschreibt.

Ebenfalls gefährlich ist das Sicherheitsproblem der Windows Graphics Rendering Engine, die sich an präparierten Thumbnails verschluckt, wenn man nicht gerade Windows 7 oder 2008 Server einsetzt. Erschwerend kommt hier hinzu, dass der von Microsoft beschriebene Weg zur manuellen "Problemumgehung" auf deutschen Systemen nicht funktioniert, weil dort die Benutzergruppe Everyone nicht existiert – sie heißt auf deutschen Systemen Jeder. Beim Test Dienstag Abend verwendete auch das von Microsoft bereit gestellte Fix-It-Tool noch die falsche Gruppe, schützte also nicht wie versprochen. Statt des empfohlenen Kommandos muss man den Befehl

echo y| cacls %WINDIR%\SYSTEM32\shimgvw.dll /E /P Jeder:N

eingeben, um den Zugriff auf die Bibliothek shimgvw.dll einzuschränken und damit die Anzeige von Thumbnails zu unterbinden.

Update: Wie Ottmar Freudenberger auf Patch-Info im 2.Update berichtet, hat Microsoft Dienstag Nacht eine neue Version 2.1.3.3 des Fix-It-Tools veröffentlicht. Diese setzte in unseren Tests auch auf einem deutschen Windows XP die Zugriffsrechte endlich korrekt. (ju)