Februar-Patches von Microsoft und Adobe
Der Februar bringt 12 Microsoft-Patches, die 57 Lücken schließen – die meisten davon in Windows. Aber auch Adobe hat fleißig gepatcht und kritische Schwachstellen in Flash, AIR und Shockwave abgedichtet.
- Ronald Eikenberg
Anlässlich seines Februar-Patchdays hat Microsoft 12 Patch-Pakete (Bulletins) herausgegeben, die insgesamt 57 Lücken schließen sollen. Fünf Bulletins stuft das Unternehmen als kritisch ein. Auch Adobe ist wieder mit von der Partie und sichert Flash, AIR sowie Shockwave ab.
Die hohe Zahl der Microsoft-Lücken geht unter anderem auf das Konto des Internet Explorer: Bei einem kritischen Bulletin handelt es sich um ein Sammelupdate, das 13 Schwachstellen in sämtlichen noch unterstützten IE-Versionen beseitigt; darunter befinden sich zahlreiche Use-after-Free-Lücken, also Zugriffe auf bereits freigegebene Speicherbereiche. Durch die Lücken kann man sein System schlimmstenfalls beim Besuch einer speziell präparierten Webseite mit Schadcode infizieren. Ein weiteres Bulletin behebt eine kritische IE-Lücke, die beim Verarbeiten von VML-Dateien auftritt. Bei der Vector Markup Language (VML) handelt es sich um eine Auszeichnungssprache für Vektorgrafiken.
Auch Windows wurde abgesichert: Ein als kritische eingestuftes Patch-Paket behebt eine Lücke in der DirectShow-BIbliothek Quartz.dll, die in Windows bis Vista (und bei den Server-Ausgaben bis 2008) enthalten ist. Durch die Lücke kann man sein System durch das Öffnen einer präparierten Mediendatei mit Schadcode infizieren. Eine solche kann auch in Office-Dokumenten wie etwa Powerpoint-Präsentationen lauern. Außerdem hat Microsoft eine kritische Lücke in der in der OLE-Automatisierung (Object Linking and Embedding) von XP geschlossen, durch die ein Angreifer Code mit Nutzerrechten ausführen kann. Das fünfte "kritische" Bulletin behebt zwei Lücken im Exchange Server 2003 und 2007, die abermals auf Oracles Dateikonverter Outside In zurückzuführen sind
Auch die übrigen, noch als "wichtig" eingestufen, Bulletins haben es durchaus in sich: Sie beheben zumeist Windows-Lücken. Betroffen sind sämtliche Versionen. Ein Bulletin beseitigt allein 30 vertraulich gemeldete Race Conditions, durch die sich ein Angreifer, der sich bereit mit einem gültigen Windows-Account am System angemeldet hat, an höhere Rechte kommen kann. Weitere Windows-Lücken können dazu führen, dass der Rechner nicht mehr reagiert oder einen Neustart durchführt (Denial of Service). Ein Angreifer kann das zum Beispiel über speziell präparierte TCP-Pakete erreichen. Ebenfalls abgesichert hat Microsoft sein .NET Framework und seinen FAST Search Server 2010 für SharePoint SP1.
Von Adobe gibt es zum Februar-Patchday neue Flash-Versionen für alle unterstützten Betriebssysteme: Windows, Mac OS X, Linux und Android. Die Updates beseitigen zahlreiche kritische Schwachstellen, die sich unter anderem zum Einschleusen von Schadcode eignen; darunter Pufferüberläufe und Use-after-free-Fehler. Die zahlreichen neuen Versionsnummern findet man im Adobe-Advisory. Googles Chrome-Browser hält sein Flash-Plug-in automatisch auf dem aktuellen Stand, Windows 8 kümmert sich um die Aktualität von Flash im Internet Explorer 10. Die Schwachstellen wurden auch in AIR und dem AIR SDK geschlossen. Ferner hat Adobe zwei kritische Lücken in Shockwave beseitigt. Die fehlerbereinigte Version trägt die Nummer 12.0.0.112. (rei)