Nach dem Januar-Patchday ist vor dem Patchday
Microsoft schließt Schwachstellen in Outlook, Excel, Office und letztlich auch im Internet Explorer. Doch einige bekannte Lücken bleiben nach wie vor offen, obwohl für diese bereits Exploits kursieren.
- Christiane Rütten
Entsprechend der Ankündigung veröffentlichte Microsoft zum Januar-Patchday vier der zunächst acht versprochenen Bulletins. Microsofts Office-Produkte, darunter der Mailer Outlook, sind nun um insgesamt neun zumeist kritische Lücken ärmer und auch eine vom Internet Explorer eingesetzte Grafikkomponente bekam einen dringlichen Patch spendiert. Alle Bulletins behandeln Lücken, durch die Angreifer unter Umständen übers Netz Schadcode einschleusen und zur Ausführung mit Anwenderrechten bringen können.
Das als kritisch eingestufte Bulletin MS07-004 bezieht sich auf eine Schwachstelle in der Bibliothek zur Darstellung von Grafiken im VML-Format (Vector Markup Language). Betroffen sind Windows 2000, XP und Server 2003 sowohl in den 32- als auch 64-Bit-Varianten. Da die diversen Versionen des Internet Explorer das VML-Modul zur Darstellung ihrer Grafiken einsetzen, bilden sie allerdings das Haupteinfallstor. Durch den Programmierfehler können Angreifer dem IE beim Besuchen manipulierter Webseiten unter Umständen beliebigen Schadcode unterschieben.
Microsoft Outlook 2000, XP und 2003 aus den entsprechenden Office-Paketen lässt sich wie im kritisch eingestuften Bulletin MS07-003 beschrieben von Angreifern beliebige Befehle über speziell präparierte E-Mails erteilen. MS07-002 befasst sich mit ebenfalls kritischer Priorität mit der Tabellenkalkulation Excel in MS-Office 2000, XP, 2003, Works Suite 2004 und 2005 sowie den Mac-Versionen Office 2004 und v. X. Diese kommen durch manipulierte Tabellendokumente aus dem Tritt und beginnen unter Umständen, enthaltenen Schadcode auszuführen.
Benutzer der brasilianisch-portugiesischen Rechtschreibprüfung sollten bis zum Einspielen des Patches besonders genau hinsehen, ob sie nicht versehentlich einen Absatz Schadcode auf Schreibfehler testen lassen. Dieser könnte in der Version 2003 von Office, Visio und Project unter Umständen Schadsoftware auf dem System installieren. Da die brasilianisch-portugiesische Korrekturfunktion allerdings keine große Anwenderschaft besitzen und somit ein weniger lohnendes Ziel abgeben dürfte, trägt das zuständige Bulletin MS07-001 lediglich den Schweregrad "Hoch".
Damit bleibt in Microsoft-Produkten eine ganze Reihe kritischer Sicherheitslücken, für die bereits funktionsfähige Exploits kursieren, weiterhin offen, wie eine aktuelle Übersicht des ISC zeigt. Insbesondere den Exploits für die drei ungepatchten Word-Lücken und der seit Oktober bekannten Schwachstelle im ActiveX-Control ADODB könnten allein bis zum kommenden Patchday noch so einige ungeschützte Systeme zum Opfer fallen.
Welche vier Bulletins kurz vor der heutigen Veröffentlichung zurückgezogen wurden und aus welchem Grund, bleibt unklar. Mit der Installation der nun per Microsoft-Update verteilten Patches für die genannten Schwachstellen sollten Anwender beziehungsweise Admins gemäß der Empfehlungen aus Redmond allerdings möglichst bald beginnen.
Siehe dazu auch:
- Microsoft Security Bulletin Summary für Januar 2007, Zusammenfassung zum Patchday von Microsoft
- Sicherheitsanfälligkeit in Vector Markup Language kann Remotecodeausführung ermöglichen (925486), Microsoft-Bulletin MS07-004
- Sicherheitsanfälligkeiten in Microsoft Outlook können Remotecodeausführung ermöglichen (925938), Microsoft-Bulletin MS07-003
- Sicherheitsanfälligkeiten in Microsoft Excel können Remotecodeausführung ermöglichen (927198), Microsoft-Bulletin MS07-002
- Sicherheitsanfälligkeit in Microsoft Office 2003 in der Grammatikprüfung für Portugiesisch (Brasilien) kann Remotecodeausführung ermöglichen (921585), Microsoft-Bulletin MS07-001
(cr)