Microsoft patcht URI-Sicherheitslücke
Am November-Patchday schließt Microsoft lediglich zwei Sicherheitslücken – die URI-Lücke und eine bislang unbekannte Schwachstelle im Windows-DNS-Server.
Der Softwareriese aus Redmond veröffentlicht am November-Patchday wie angekündigt zwei Security-Bulletins. Eines der Updates behebt den Fehler bei der Verarbeitung präparierter URLs, das andere eine Sicherheitslücke in den Windows-DNS-Servern.
Nachdem vor etwa einem Monat bekannt wurde, dass auch Microsoft-Produkte wie Outlook von dem Problem bei der Verarbeitung präparierter URLs der Gestalt mailto:%xx../../../../../../../../../windows/system32/calc.exe".cmd betroffen sind, hat das Unternehmen einen Patch angekündigt – und liefert ihn ab sofort mit dem Update aus, das das Security-Bulletin MS07-061 behandelt. Wer noch einen inoffiziellen Patch installiert hat, sollte diesen jetzt wieder entfernen.
Microsoft erläutert in der Sicherheitsmeldung, dass der kritische Fehler auf die fehlerhafte Überprüfung von übergebenen URLs durch die Windows Shell zurückzuführen ist. Der Fehler tritt allerdings nur auf, wenn Internet Explorer 7 installiert ist. Die Lücke wurde bereits mit speziell präparierten PDF-Dateien ausgenutzt, die beim Öffnen mit dem Adobe Reader Schad-Software installierten. Das Update ersetzt die betroffene Datei Shell32.dll durch eine fehlerbereinigte Fassung. Als betroffene Windows-Versionen listet Microsoft Windows XP SP2, die 64-Bit-Version von XP mit und ohne Service Packs sowie Windows Server 2003 mit und ohne Service Packs sowie die 64-Bit-Fassung und die Itanium-Versionen auf.
Das zweite Update behebt eine mit der Gefahrenstufe hoch bewertete Lücke in den Windows-DNS-Servern. Unter Windows 2000 Server sowie unter Windows Server 2003 kann eine zu geringe Entropie bei der Generierung der Transaction-IDs dazu führen, dass Angreifer eine Transaction-ID erfolgreich erraten und damit dem Server gefälschte DNS-Antworten etwa für Phishing-Angriffe unterschieben können. Eine ähnliche Lücke im DNS-Server BIND 8 läutete Ende August dessen offizielles Ende ein.
Im Blog des Microsoft Security Response Centers kündigen die Redmonder außerdem eine überarbeitete Fassung des Updates MS07-049 an, das sicherheitsrelevante Fehler in Virtual PC und Virtual Server behebt. Bei der älteren Version habe die Installationsroutine gelegentlich versagt. Wer das Update bereits erfolgreich eingespielt hat, braucht es daher nicht nochmal einzuspielen. Wie an jedem Patchday liefert Microsoft auch ein aktualisiertes Malicous Software Removal Tool (MSRT) aus, das einige der aktuell aktiven Schädlinge erkennen und beseitigen können soll.
Siehe dazu auch:
- Microsoft Security Bulletin Summary für November 2007, Übersicht der Sicherheitsmeldungen von Microsoft
- Sicherheitsanfälligkeit bei der URI-Verarbeitung in Windows kann Remotecodeausführung ermöglichen, Sicherheitsmeldung von Microsoft
- Sicherheitsanfälligkeit in DNS kann Spoofing ermöglichen, Security-Bulletin von Microsoft
(dmk)
