Drei Windows-Patches, Excel weiterhin offen
Wer im Stillen doch noch auf einen Patch für die bereits aktiv ausgenutzte Excel-Lücke gehofft hatte, wird enttäuscht: Die drei zum Patchday veröffentlichten Updates betreffen alle Windows.
Das kritische Update in MS09-006 beseitigt gleich drei Schwachstellen im Windows-Kern, die Angreifer durch präparierte EMF- oder WMF-Bilddateien ausnutzen könnten. Interessant daran ist, dass zumindest zwei der Fehler in allen unterstützten Windows-Versionen auftreten können. Allerdings hält Microsoft es für unwahrscheinlich, dass tatsächlich ein funktionierender Exploit für die kritische Lücke auftauchen wird, der das gezielte Einschleusen von Code ermöglicht, und ordnet ihr somit nur den niedrigen Exploitability Index 3 zu.
Ebenfalls alle Windows-Versionen betrifft eine Schwachstelle in Microsofts SSL-Bibliothek (Secure Sockets Layer). Diese überprüft bei einer Authentifizierung mit X.509-Zertifikaten nicht ausreichend, ob der Anwender tatsächlich Zugriff auf den geheimen privaten Schlüssel hat. Somit könnte sich ein Angreifer bei einem TLS-gesicherten Dienst allein mit dem öffentlichen Teil des Schlüsselpaars als Zertifikatsinhaber ausgeben (MS09-007).
Darüber hinaus beschreibt Microsoft in MS09-008 vier Schwachstellen im DNS- und WINS-Server, die das gezielte Fälschen von Adressen (Spoofing) ermöglichen. Offenbar überprüfen Microsofts Server-Betriebssysteme DNS-Antworten nicht ausreichend, sodass ein Angreifer den DNS-Cache mit gefälschten Antworten vergiften könnte. Die Beschreibung ähnelt den Problemen in den DNS-Servern vieler Hersteller, die 2008 für Aufregung sorgten. Außerdem lassen sich Internet-Zugriffe über die Web Proxy Auto-Discovery (WPAD) unter Umständen über feindliche Proxies umleiten, weil der Windows WINS- und DNS-Server nicht richtig überprüfen, wer WPAD-Einträge auf dem DNS-Server registrieren darf.
Zwar hat Microsoft die Existenz der Sicherheitslücke in Excel bereits vor zwei Wochen bestätigt, Informationen, wann mit einem Patch zu rechnen ist, gibt es jedoch immer noch nicht. Lücken in Office-Programmen, bei denen der Anwender eine Office-Datei selbst öffnen muss, stuft Microsoft traditionell nicht als kritisch, sondern auch dann nur mit der Priorität hoch ein, wenn sie das Einschleusen von Schad-Software ermöglichen. Möglicherweise gilt diese niedrigere Priorität nicht nur nach außen, sondern auch für die internen Prozesse.
Auch wenn man die Dringlichkeit der drei veröffentlichten Updates nicht unterschätzen sollte, ist im Zweifelsfall das von Adobe für Mittwoch, den 11. März angekündigte Update für den PDF-Reader höher einzustufen. Diese Lücke wird bereits konkret ausgenutzt und betrifft potenziell alle Desktop-Systeme, die Adobe Reader installiert haben.
Siehe dazu auch
- Microsoft Security Bulletin Summary für März 2009, Zusammenfassung von Microsoft
- Adobe stopft Flash-Lücke, PDF-Loch weiterhin offen auf heise Security
- Microsoft bestätigt Excel-Lücke und fixt Autorun auf heise Security
(ju)
