Microsoft stopft 21 Sicherheitslücken

Ingesamt 21 Sicherheitslücken beschreibt Microsoft in den zum heutigen Patch-Day herausgegebenen zehn Security Bulletins. Den größten Teil der Lücken stufen die Redmonder selbst als kritisch ein, da Angreifer darüber beliebigen Code auf ein System schleusen und starten können, um es unter ihre Kontrolle zu bringen. Die Patches zum Stopfen der Lücken sind ab sofort per Windows-Update verfügbar und stehen auch einzeln zum Download bereit. Zum Zeitpunkt der Meldung standen noch keine deutschen Bulletins zur Verfügung.

Allein MS04-38 widmet sich acht Schwachstellen im Internet Explorer. Bei vier davon reicht der Besuch einer präparierten Seite und ein unbedachter Klick aus, um einen Schädling untergeschoben zu bekommen. Auch die seit acht Wochen bekannte Drag&Drop-Schwachstelle, über die auch Trojaner wie Bizex in Windows-Rechner eindrangen, wird im Bulletin beschrieben. Der dazugehörige Patch ist ein kumulatives Update, das die in MS04-25 und MS04-004 beschriebenen Lücken mit schließt.

Mit Sicherheitslücken in der Windows-Shell und dem Programm-Gruppen-Konverter beschäftigt sich MS04-037. Über beide lässt sich Code einschleusen und ausführen. Die Lücke in der Windows-Shell kann ein Angreifer über manipulierte Webseiten ausnutzen.

Ein Buffer Overflow in den Funktionen zur Verarbeitung des Network News Transfer Protocol (NNTP) gefährdet laut MS04-36 die Server-Produkte von Microsoft. Betroffen sind Exchange 2000 Server, Exchange Server 2003, Windows NT Server 4.0, Windows 2000 Server und Windows Server 2003.

Auch eine Komponente zur Verarbeitung des SMTP-Protokolls ist fehlerhaft implementiert, allerdings nur in Windows Server 2003. Laut MS04-035 reagiert diese Komponente bei der Namensauflösung auf bestimmte DNS-Antworten mit einem Pufferüberlauf. Ein Angreifer muss zum Ausnutzen der Schwachstelle nicht unbedingt einen DNS-Server unter seine Kontrolle bringen. Da DNS über UDP abgewickelt wird, ist das Senden von Paketen mit gefälschter Quelladresse relativ einfach.

Sorgen bereitet der in Windows XP (SP1) und Server 2003 integrierte ZIP-Manager. Durch einen Fehler beim Entpacken manipulierter Archive kann beliebiger Code auf ein verwundbares System gelangen und starten. Laut Bulletin MS04-034 kann ein Angreifer solche Archive als Anhang einer E-Mail an sein Opfer verschicken oder als Link, der auf eine Webseite zu dem Archiv führt.

Ein Fehler in Excel bietet ebenfalls die Gelegenheit ein System mit Schädlingen zu infizieren. Microsoft macht in MS04-033 aber keine näheren Angaben zu dem Problem. Betroffen sind Excel 2000, 2002, 2001 für Mac sowie Excel v. X for Mac.

MS04-032 beschreibt Fehler im Windows Management, der Virtual DOS-Machine, im Kernel und der Graphics Rendering Engine. Bei letzterer provozieren präparierte WMF- und EMF-Bilder einen Buffer Overflow, über den sich Code einschmuggeln lässt. Wie schon bei der JPEG-Sicherheitslücke reicht auch hier das Anschauen eines Bildes aus -- Bildbearbeitung wird unter Windows allmählich zur Mutprobe.

Ohne Benutzerinteraktion lässt sich ein Fehler in NetDDE ausnutzen. Der Beschreibung in MS04-031 zufolge ist diese Kommunikationsart mittlerweile durch DCOM vollständig abgelöst worden -- standardmäßig ist NetDDE auch deaktiviert. Systeme auf denen der Dienst läuft, sind aber dennoch hoch gefährdet.

Nur zum Absturz des Internet Information Servers führt ein Fehler im WebDAV-Modul bei der Verarbeitung von XML-Nachrichten. Laut Security Bulletin MS04-030 sind IIS 5.0, 5.1 und 6.0 betroffen.

Gegenüber einer neuen Schwachstelle im RPC-Dienst zeigt sich nur Windows NT 4 verwundbar. Beim Empfang bestimmter Pakete bleibt der Server stehen. Unter besonderen Umständen kann ein Angreifer auch Teile des Speichers auslesen, so das Bulletin MS04-029.

Siehe dazu auch: (dab)

• Windows Security Updates for October 2004 von Microsoft
• Office Security Update for October 2004 von Microsoft
• Exchange Server Updates for October 2004 von Microsoft