Microsoft stopft zahlreiche kritische Sicherheitslöcher in Windows

So viele kritische Sicherheitslöcher stopfte Microsoft schon lange nicht mehr: Zum Patch-Day haben die Redmonder acht Bulletins in vier Kategorien herausgegeben, in denen insgesamt 18 Schwachstellen beschrieben sind. Die meisten von ihnen bieten Angreifern die Möglichkeit, die vollständige Kontrolle über einen Server oder einen Desktop zu erlangen. Alle Patches zum Schließen der Lücken sind über den automatischen Update oder die Update-Seiten zu beziehen.

Bulletin MS05-021 beschreibt einen Buffer Overflow im Exchange Server 2000 und 2003, der bei der Verarbeitung bestimmter SMTP-Befehle (Extended Verbs) auftritt. Ein Angreifer kann darüber die Kontrolle über das System erlangen. Bei Exchange 2000 ist für einen erfolgreichen Angriff keine vorherige Authentifizierung erforderlich, Exchange 2003 setzt eine Anmeldung am Server voraus.

Auch über die fünf in MS05-019 beschriebenen Fehler im TCP/IP-Stack lässt sich ein System über das Netzwerk kompromittieren. Die fehlerhafte Validierung präparierter Pakete führt nach Angaben von Microsoft zwar meist zum Absturz eines Systems, es sei darüber aber auch das Einschleusen und Ausführen von Code möglich. Eine direkte Attacke über das Netzwerk war zuletzt über die Lücke im LSASS-Dienst möglich -- unter anderem drang der Wurm Sasser darüber in ungeschützte Windows-Systeme ein. Mit den anderen vier im Bulletin erwähnten Schwachstellen kann ein Angreifer Systeme zum Absturz oder zum Stillstand bringen.

Besonderes Augenmerk verdient auch das Bulletin MS05-020, das auf drei Lücken im Internet Explorer hinweist. Bei einer davon genügt allein der Klick auf einen Link in dessen URL ein zu langer Hostname enthalten ist, um sich mit Schädlingen zu infizieren. Solch ein Link kann sowohl in einer Web-Seite als auch in einer E-Mail enthalten sein. Voraussetzung für einen erfolgreichen Angriff ist aber, dass ein Opfer den Link selbst anklickt. Ein weiterer Fehler im DHTML-Object-Modell kann bei der Anzeige von HTML-Seiten ebenfalls zur Infizierung des Rechners führen.

Internetanwender dürften sich auch für die kritische Lücke im MSN Messenger interessieren. Laut MS05-022 verursachen bestimmte GIFs beim Empfang einen Fehler, mit dem im Bild eingebetteter Code ausgeführt wird. Der Anwender muss dem Empfang eines solchen Bildes zustimmen. Allerdings lässt sich nicht vorrausehen, ob das Bild Schadcode enthält. Betroffen ist nur der MSN Messenger Version 6.2

Ein weiteres Bulletin MS05-018 beschreibt drei Fehler im Kernel, über die ein am System angemeldeter Anwender seine Zugriffsrechte erhöhen kann. Dazu reicht unter anderem bereits das Laden eines präparierten Zeichensatzes. Ein vierter Fehler führt zum Absturz von Windows.

Auch die Windows-Shell bietet einen Angriffspunkt. In besonderen Fällen startet die Shell fälschlicherweise den HTML Application Host (MSHTA.EXE), um bestimmte Dateien zu verarbeiten, deren Erweiterung nicht unter Windows registriert sind. Gemäß Bulletin MS05-016 ermöglicht es einem Angreifer so Code einzuschleusen und auszuführen. Allerdings muss das Opfer dazu eine präparierte Datei öffnen, die etwa per Mail auf das System gelangt ist.

Weniger kritisch ist nach Microsofts Auffassung ein Problem im Message Queuing, da der Dienst standardmäßig nicht installiert ist. Sofern er aber doch auf dem System läuft, reicht ein besonderes Paket über das Netzwerk an ein verwundbares System, um etwa eine Backdoor zu installieren. Microsoft geht im Bulletin MS05-017 aber davon aus, dass die entsprechenden Netzwerkports (135, 139 und so weiter) ohnehin von einer Firewall blockiert werden und somit Angreifer aus dem Internet keine Chance haben.

Office-Anwender bleiben am Patch-Day ebenfalls nicht unbehelligt: Zwei Schwachstellen in Word 2000, 2002 und 2003 erfordern die Installation von Updates. Laut Bulletin MS05-023 beruhen beide Fehler auf Buffer Overflows, die von manipulierten Word-Dokumente hervorgerufen werden.

Siehe dazu auch: (dab)

• Übersicht aktueller Sicherheitsupdates im April von Microsoft