Microsofts August-Patches und die Rückkehr des Ping of Death

Die Remonder Softwareschmiede hat acht Patch-Pakete herausgegeben, die insgesamt 23 Sicherheitslücken in sämtlichen Versionen von Windows und Internet Explorer schließen sollen. Unter anderem feiert ein längst tot geglaubtes Problem ein IPv6-Revival.

In Pocket speichern vorlesen Druckansicht 130 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Microsoft hat anlässlich seines August-Patchdays wie angekündigt 8 Patch-Pakete (sogenannte Bulletins) herausgegeben, die insgesamt 23 Sicherheitslücken schließen. Drei der Bulletins betreffen kritische Lücken: Es handelt sich um ein Sammelupdate für den Internet Explorer, ein Bulletin für Systeme mit Windows XP und Server 2003, auf denen das indische Sprachpaket installiert ist, sowie ein Bulletin für Exchange Server 2007 bis 2013, welches den den darin enhaltenen Datei-Konvertierer Oracle Outside In abdichtet.

Auch die übrigen fünf Bulletins sind nicht ohne; Microsoft stuft sie als "wichtig" ein. Zwei von ihnen schließen Privilege-Escalation-Lücken in fast allen Windows-Versionen. Das eine betrifft den Remoteprozeduraufruf, das andere den Windows-Kernel. Letzteres dichtet unter anderem die Lücke mit der Nummer CVE-2013-2556 ab, durch die man die Speicherverwürfelung (Address Space Layout Randomization, ASLR) austricksen kann. Sie wurde auf der diesjährigen Ausgabe des Hackerwettbewerbs Pwn2Own von Vupen präsentiert.

Zwei weitere Patch-Pakete beheben interessante Denial-of-Service-Schwachstellen in Windows, nämlich einen Ping of Death via ICMPv6 für fast alle Windows-Versionen außer XP und einen für Windows Server 2012 im NAT-Modus. Als Ping of Death bezeichnete man spezielle ICMP-Pakete, die sehr frühe Versionen des TCP/IP-Stacks etwa in Windows 95 zum Absturz brachten. Es entbehrt nicht einer gewissen Ironie, dass derartige Fehler jetzt mit IPv6 ein Revival feiern. Dass Windows Server 2012 anscheinend noch mit der IPv4-Version Probleme hat, ist eine Einladung zum Spott, die wir bewusst auslassen.

Last but not least hat Microsoft im Active-Directory-Dienst zahlreicher Windows-Server-Versionen eine als Information Disclosure eingestuftes Sicherheitsloch gestopft. Laut Microsoft wurden sämtliche Schwachstellen vertraulich gemeldet, es sei in vielen Fällen jedoch wahrscheinlich, dass sich in naher Zukunft ein passender Exploit materialisiert.

Außerdem hat Microsoft das Update 2862966 herausgegeben, durch das man in Enterprise-Umgebungen den Einsatz schwacher Krypto-Funktionen erkennen und unterbinden können soll. Darauf setzt das Update 2862973 auf, das den Einsatz von Zertifkaten mit MD5-Hash untersagt, die auf eine Microsoft-CA zurückgehen. Der MD5-Blocker ist derzeit noch optional und soll erst im Februar über Windows Update verteilt werden.

(rei)