Weitere Details zu Microsofts Security Bulletins
Die zu den Windows-Sicherheitslücken veröffentlichten Advisories der Entdecker zeichnen ein anderes Bild über Redmonds Reaktionszeit als die Forrester-Studie zur Sicherheit von Windows und Linux.
Da die Fehlerbeschreibung in Microsofts Security-Bulletins zu den neusten Patches für Sicherheislücken etwas dürftig ausfällt, stellt heise Security eine Linkliste zu den entsprechenden Veröffentlichungen der Entdecker bereit. Allerdings existiert nicht für jede Lücke ein publiziertes Advisory. Dafür gibt es für manche Lücken sogar Meldungen verschiedener Sicherheitsdienstleister, die für sich beanspruchen, als Erster die Lücke entdeckt zu haben.
Interessant sind die Termine der Benachrichtigungen (Vendor Notification) von Microsoft. Diese reichen von April 2003 bis April 2004. Die Lücken im RPC-Dienst sind seit September vergangenen Jahres bekannt, der Bug in LSASS seit Oktober und der MHTML-Fehler seit dem 18. Februar 2004. Diese Daten stehen in krassem Gegensatz zur Forrester-Studie über die Sicherheit von Windows und Linux, in der man bei Microsoft einen Mittelwert von 25 Tagen zwischen Bekanntgabe und Fix ermittelt haben will. Bei den nun veröffentlichten Patches liegt allein der kürzeste Zeitraum bei fast zwei Monaten (Meldung von NS-Focus).
- DCOM RPC Memory Leak von eEye
- DCOM RPC Race Condition von eEye
- Local Security Authority Service Remote Buffer Overflow von eEye
- Expand-Down Data Segment Local Privilege Escalation von eEye
- VDM TIB Local Privilege Escalation von eEye
- Metafile Heap Overflow von eEye
- Help and Support Center Argument Injection Vulnerability von IDefense
- SSL Library Remote Compromise Vulnerability (PCT, Private Communications Technology) von ISS X-Force
- RPC Race Condition Denial of Service von ISS X-Force
- Active Directory Stack Overflow von Core-Security
- ASN.1 Double Free Vulnerability von Foundstone
- DoS Vulnerability in Microsoft Windows SPNEGO Protocol Decoding (SPPNego) von NS-Focus
Weitere Tests der Patches in der heise-Security-Redaktion haben gezeigt, dass das Update aus MS04-013 zwar ebenfalls den MHTML-Bug im Internet Explorer behebt, Angriffe über die showhelp()-Funktion funktionieren aber weiterhin. Diese Lücke ist seit Ende 2003 bekannt. Ob der eigene Browser verwundbar ist, können Anwender mit dem c't-Browsercheck überprüfen. Die Update-Seiten von Microsoft sind derzeit stark überlastet. Der Seitenaufbau kann schon mal einige Minuten in Anspruch nehmen.
Siehe dazu auch: (dab)
- 20 auf einen Streich: Microsoft patcht RPC & Co auf heise Security