Microsoft-Patchday: 15 Sicherheitslücken weniger

Microsoft hat wie angekündigt am August-Patchday neun Sicherheitsupdates herausgegeben, die 15 Sicherheitslücken in den Produkten des Herstellers schließen. Sechs der Security Bulletins behandeln dabei zehn als kritisch eingestufte Sicherheitslücken.

Im Internet Explorer 5, 6 und 7 unter allen Betriebssystemen von Windows 2000 bis Windows Vista kann ein Pufferüberlauf in der Bibliothek vgx.dll zum Verarbeiten der Vector Markup Language (VML) auftreten. Angreifer können die kritische Lücke mit manipulierten Webseiten ausnutzen, um Schadcode einzuschleusen. Das Update zur Sicherheitsmeldung MS07-050 behebt den Fehler.

Darüber hinaus schließt ein kumulatives Update für den Internet Explorer (MS07-045) drei weitere Sicherheitslücken. Zwei davon betreffen wie so oft eigentlich nicht für den Browsereinsatz gedachte COM-Objekte sowie ein ActiveX-Modul, das den Systemstatus so durcheinander bringen kann, dass eingeschleuster Code zur Ausführung kommt. Die Lücken sind im IE 5 und 6 unter Windows 2000 sowie unter Windows XP kritisch eingestuft. Unter Windows Server 2003 schätzen die Redmonder sie als mittel ein, weil AcitiveX per Default deaktiviert ist. Im IE7 unter Windows XP und Vista stuft Microsoft die Gefahr als hoch ein, hier bekommt der Anwender zumindest eine Warnung, bevor er auf das Steuerelement zugreifen kann. Die Redmonder lösen das Problem, indem das Update das Killbit der betroffenen Visual-Basic-Komponenten tblinf32.dll beziehungsweise vstlbinf.dll und pdwizard.ocx setzt. Außerdem behebt das Update eine Lücke bei der Verarbeitung präparierter Cascading Style Sheets (CSS), die die Speicherverwaltung im Internet Explorer 5 unter Windows 2000 so stören können, dass ebenfalls Schadcode zur Ausführung kommen kann.

Unter allen Betriebssystemen können Angreifer eine Schwachstelle in den XML Core Services 3, 4 und 6 sowie in den XML Core Services 5 unter Office 2003, 2007, dem Office Sharepoint Server und dem Office Groove Server 2007 missbrauchen, um die vollständige Kontrolle über das System zu übernehmen (MS07-042). Durch präparierte Skript-Anfragen können etwa Webseiten im Internet Explorer oder HTML-Emails die Speicherverwaltung durcheinander bringen und dadurch fremden Code ausführen. Die Lücke ist unter allen Betriebssystemen außer Windows Server 2003 kritisch.

In der Grafikschnittstelle GDI können erneut nicht näher erläuterte, präparierte Bilddateien zur Ausführung von eingeschleustem Code führen. Angreifer könnten solche Bilder etwa als E-Mail-Anhang verschicken. Die Lücke, die das Security Bulletin MS07-046 beschreibt, betrifft Windows 2000, XP sowie Windows Server 2003; Vista-Systeme sind nicht anfällig.

Ein weiteres Update behebt Fehler bei der Verarbeitung manipulierter Excel-Dateien (MS07-044), die den Speicher durcheinander bringen und dadurch fremden Code einschleusen können. Unter Office 2000 handelt es sich um eine kritische Lücke, das Gefahrenpotenzial unter Office XP, 2003, dem Excel Viewer 2003 und Office 2004 für den Mac stuft Microsoft als hoch ein. Die Sicherheitsmeldung MS07-043 behandelt eine kritische Lücke bei der Verarbeitung von OLE-Datenströmen in Windows 2000, Windows XP, Office 2004 für den Mac und Visual Basic 6, die bösartigen Individuen das Ausführen von eingeschleustem Code erlaubt. Vista ist von der Schwachstelle nicht betroffen.

Lediglich mit der Gefahrenstufe hoch stuft Microsoft zwei Lücken in allen Windows-Media-Player-Versionen unter allen unterstützten Betriebssystemen ein. Die Schwachstellen treten bei der Verarbeitung beziehungsweise Dekompression von präparierten Skins zu Tage; das Update zum Security Bulletin MS07-047 behebt die Fehler. Das Bulletin MS07-048 beschreibt ebenfalls mit dem Gefahrenpotenzial hoch eingestufte Sicherheitslecks in den Vista-Gadgets zum Anzeigen von RSS-Feeds, zur Kontaktverwaltung sowie zur Wetteranzeige, die keine ausreichende Prüfung der zu verarbeitenden Daten vornehmen und dadurch anfällig für das Einschmuggeln von beliebigem Programmcode sind.

In Microsofts Virtual PC 2004, 2004 SP1, Virtual PC für den Mac 6.1 und 7 sowie im Virtual Server 2005 und 2005 R2 können Nutzer mit Administratorrechten im Gastbetriebssystem aus der virtuellen Maschine ausbrechen und fremden Code im Hostsystem oder in anderen Gastsystemen ausführen. Security Bulletin MS07-049 erläutert, dass die Fehler auf einen Pufferüberlauf auf dem Heap aufgrund fehlerhafter Initialisierung und Interaktion mit Komponenten in Virtual PC zurückzuführen sind, die mit dem Hostsystem kommunizieren.

Wie jeden Monat verteilt Microsoft auch ein aktualisiertes Malicous Software Removal Tool (MSRT), das einige der weit verbreiteten Schädlinge erkennt und befallene Systeme davon befreien kann. Die Redmonder haben am August-Patchday zahlreiche bislang unbekannte Sicherheitslecks abgedichtet, aber die seit nunmehr zwei Monaten bekannte Sicherheitslücke im ActiveX-Modul Office Data Source Control 11 aus Microsofts Office 2003 steht weiter offen.

Da häufig kurz nach den Patchdays erste Exploits für die geschlossenen Schwachstellen auftauchen, sollten Nutzer die Updates zügig einspielen.

Siehe dazu auch:

• Microsoft Security Bulletin Summary für August 2007, Übersicht der Updates von Microsoft
• Sicherheitsanfälligkeit in Microsoft XML Core Services kann Remotecodeausführung ermöglichen (936227)
• Sicherheitsanfälligkeit in OLE-Automatisierung kann Remotecodeausführung ermöglichen (921503)
• Sicherheitsanfälligkeit in Microsoft Excel kann Remotecodeausführung ermöglichen (940965)
• Kumulatives Sicherheitsupdate für Internet Explorer (937143)
• Sicherheitsanfälligkeit in GDI kann Remotecodeausführung ermöglichen (938829)
• Sicherheitsanfälligkeit in Windows Media Player kann Remotecodeausführung ermöglichen (936782)
• Sicherheitsanfälligkeiten in Windows-Minianwendung können Remotecodeausführung ermöglichen (938123)
• Sicherheitsanfälligkeit in Virtual PC und Virtual Server kann Erhöhung von Berechtigungen ermöglichen (937986)
• Sicherheitsanfälligkeit in VML (Vector Markup Language) kann Remotecodeausführung ermöglichen (938127)

(dmk)