Zehn Updates und Serverprobleme am Oktober-Patchday [Update]
Microsoft veröffentlicht am Oktober-Patchday zehn anstatt der elf angekündigten Sicherheitsupdates. Aufgrund von Serverproblemen werden die Patches jedoch nicht automatisch ausgeliefert, Techniker arbeiten an dem Problem.
Hatte Microsoft am Freitag vergangener Woche noch elf Updates für den Oktober-Patchday angekündigt, veröffentlichte das Unternehmen am heutigen Dienstag jedoch nur zehn Softwareaktualisierungen. Die Auslieferung macht allerdings Probleme: Im Blog von Microsofts Sicherheitsteam schreibt Craig Gehre, dass aufgrund von Netzwerkproblemen die Updates noch nicht via Microsoft Update, Automatic Updates, Windows Server Update Services (WSUS) und Windows Update v6 verteilt werden – die Techniker würden sich jedoch eifrig um eine Lösung bemühen. Wer die Patches jetzt schon einspielen möchte, muss sie sich über die Links in den Security Bulletins herunterladen.
Von den zehn Updates schließen sechs kritische Lücken in Windows und in Office. Ein Patch behebt eine als "hoch"-wichtig eingestufte Lücke im Serverdienst und zwei Updates bügeln jeweils eine mittelkritische Sicherheitslücke in ASP.Net sowie im Windows Object Packager aus. Ein weiterer Softwareflicken beseitigt ein von Microsoft mit niedriger Relevanz bewertetes Denial-of-Service-Leck im TCP/IP-Stack.
Der Patch zur Sicherheitsmeldung MS06-057 soll die bereits aktiv ausgenutzte WebView-Schwachstelle im Internet Explorer schließen – vor dem Einspielen des Patches sollte ein möglicherweise installierter inoffizieller Patch deinstalliert werden. Die Lücke im Multimedia Control daxctle.ocx für DirectAnimation bleibt indes weiter offen. Das Security Bulletin MS06-058 behandelt vier Schwachstellen in PowerPoint, durch die Angreifer mit manipulierten Dokumenten die Kontrolle über ein System übernehmen könnten.
Auch in Excel behebt ein Update vier Fehler, aufgrund derer eingeschmuggelter Code ausgeführt werden könnte. Die schon seit über einem Monat in Word klaffende und aktiv ausgenutzte Sicherheitslücke schließt ein Patch zum Security Bulletin MS06-060 – und außerdem drei weitere, bislang unbekannte Sicherheitslücken. Die Vier scheint an diesem Patchday eine besondere Zahl zu sein: soviele Lücken schließt ein weiteres Update aus der Sicherheitsmeldung MS06-062 allgemein in Microsoft Office.
Ebenfalls kritisch sind die Lücken im XML-Core-Service. Beim Verarbeiten von Extensible Stylesheet Language Transformations (XSLT) kann ein Pufferüberlauf auftreten und so beliebiger, eingeschleuster Programmcode ausgeführt werden. Außerdem kann das XMLHTTP-Active-X-Modul vertrauliche Daten preisgeben.
Nur als "hoch"-wichtig stuft Microsoft zwei Lücken in den Server-Services ein. Mittels manipulierter Pakete an den Dienst können Angreifer einen betroffenen Rechner lahmlegen. Weiterhin könnten präparierte SMB-Pakete unter Umständen sogar dazu führen, dass darin enthaltener Schadcode ausgeführt wird.
Für das .Net-Framework 2.0 stellen die Redmonder ein als "mittel"-wichtig eingestuftes Update bereit, dass ein Cross-Site-Scripting-Leck abdichtet. Ebenfalls mittel ist die Einschätzung für den Patch des Object Packager. Angreifer könnten durch die damit geschlossene Sicherheitslücke Dialogfelder fälschen. Der letzte der Oktober-Patches behebt Fehler in der IPv6-Implementierung des TCP/IP-Stacks, in dem präparierte IPv6-Pakete zu einem Denial-of-Service führen können.
Da die Updates derzeit nur über Windows Update v4 und SUS verteilt werden, müssen Privatanwender, die ihren Rechner zeitnah absichern möchten, die Updates für ihr System aus den Security Bulletins heraussuchen, von Hand herunterladen und selber installieren. Da in der Vergangenheit kurz nach der Veröffentlichung von Details die Lücken aktiv ausgenutzt wurden, ist dieses Vorgehen dringend anzuraten.
[Update]:
Inzwischen sind die Probleme mit den Update-Servern behoben, sodass die Patches wie gewohnt eingespielt werden können.
Siehe dazu auch: (dmk)
- Security Bulletin Summary for October, 2006 Zusammenfassung von Microsoft (englisch)
- Security Bulletin Summary für Oktober 2006, Zusammenfassung von Microsoft (deutsch)
- Sicherheitsanfälligkeit in Windows Explorer kann Remotecodeausführung ermöglichen, Security Bulletin MS06-057 zur WebView-Sicherheitslücke
- Sicherheitsanfälligkeiten in Microsoft PowerPoint können Remotecodeausführung ermöglichen, Security Bulletin MS06-058 zu den PowerPoint-Schwachstellen
- Sicherheitsanfälligkeit in Microsoft Excel kann Remotecodeausführung ermöglichen, Security Bulletin MS06-059 zu Schwachstellen in Excel
- Sicherheitsanfälligkeiten in Microsoft Word können Remotecodeausführung ermöglichen, Security Bulletin MS06-060 zu Sicherheitslücken in Word
- Sicherheitsanfälligkeiten in Microsoft Office können Remotecodeausführung ermöglichen, Security Bulletin MS06-062 zu Microsoft-Office-Schwachstellen
- Sicherheitsanfälligkeiten in Microsoft XML Core Services können Remotecodeausführung ermöglichen, Security Bulletin MS06-061 zu Sicherheitslücken im XML-Core-Service
- Sicherheitsanfälligkeit im Serverdienst kann Denial-of-Service ermöglichen, Security Bulletin MS06-063 zu Sicherheitslücken im Serverdienst
- Sicherheitsanfälligkeit in ASP.NET kann Offenlegung von Informationen ermöglichen, Security Bulletin MS06-056 im .Net-Framework 2.0
- Sicherheitsanfälligkeit in Windows Object Packager kann Codeausführung von Remotestandorten aus ermöglichen, Security Bulletin MS06-065
- Sicherheitsanfälligkeiten in TCP/IP können Denial-of-Service ermöglichen, Security Bulletin MS06-064
