August-Patchday bei Microsoft: 35 LĂĽcken weniger und eine mehr
Der Rekord-Patchday liefert Updates für alle Windows-Versionen, Office für Windows und Mac, .NET, Silverlight und einige weitere Komponenten – und als Überraschungsdreingabe ein unangekündigtes Sicherheits-Advisory.
- Christiane RĂĽtten
15 Bulletins behandeln 35 Sicherheitslücken in Microsoft-Produkten – dies ist die Bilanz des Redmonder Rekord-Patchdays im August. Angekündigt waren am vergangenen Freitag noch 14 Bulletins und 34 Lücken, doch vermutlich wurde für diese Zählung lediglich das Bulletin für die bereits vorab geschlossene LNK-Lücke (MS10-046) ausgelassen.
Als kritisch eingestufte Updates gibt es für alle Windows-Versionen auf allen Plattformen, Microsoft Office für Windows und Mac, sowie für .NET und Silverlight. Betroffene Komponenten sind die Windows Shell, die XML Core Services, die MP3- und Cinepak-Codecs, IIS, IE 7 und 8, Word und der Windows-SMB-Netzwerkdienst. Über die behandelten Schwachstellen können größtenteils Angreifer Schadcode übers Netz einschleusen und verwundbare Systeme unter ihre Kontrolle bringen.
Updates mit der zweithöchsten Einstufung "wichtig" gibt es für alle Windows-Kernel und diverse Treiber, Movie Maker, Excel, den TCP/IP-Netzwerk-Stack sowie das Windows-Tracing-Feature. Über die meisten in diesen Komponenten enthaltenen Programmierfehler können sich lokale Angreifer erhöhte Zugriffsrechte verschaffen. Neue Signaturen gab es für das Malicious Software Removal-Tool. Die Updates verteilt Microsoft über die üblichen Mechanismen. Anwender sollten sie umgehend einspielen.
Etwas überraschend hingegen kam die Veröffentlichung eines Advisories zu Sicherheitslücken in der Windows Service Isolation, einem zusätzlichen Sicherheits-Feature, das nicht-privilegierten Prozessen Zugriff auf priviligierte Systemfunktionen ermöglicht. Ein erfolgreicher Angriff könne unter recht speziellen Bedingungen dazu führen, dass ein nicht-privilegierter NetworkService-Prozess System-Rechte erlangt.
Als möglichen Angriffsszenarien stellen die Redmonder ungewöhnlich konfigurierte IIS- und SQL-Server sowie Windows Telephony Application Programming Interfaces (TAPI) heraus. Laut Advisory soll es jedoch keinen Patch für das Problem geben. Die etwas schwammige Begründung: Die Windows Service Isolation sei lediglich eine zusätzliche Sicherheitsschicht ("a defense-in-depth feature"), das nicht alle Kunden einsetzen würden, und keine vollwertige Sicherheitsschranke ("not a proper security boundary"). In dem Advisory ist aber immerhin ein Workaround beschrieben.
Siehe dazu auch:
- Microsoft Security Bulletin Summary for August 2010, Zusammenfassung von Microsoft
- Microsoft Security Bulletin Summary fĂĽr August 2010, deutsche Version
- Elevation of Privilege Using Windows Service Isolation Bypass, Advisory von Microsoft
(cr)