MS-Patchday: Eine Stuxnet-Lücke bleibt weiter offen [Update]

Die 16 Updates von Microsoft schließen zwar 49 Sicherheitslücken, ausgerechnet eine vom Super-Wurm Stuxnet ausgenutzte Schwachstelle zur Ausweitung der Rechte auf einem System bleibt weiterhin offen. Immerhin schließt das Update MS10-073 die andere der zwei bekannten Privilege-Escalation-Lücken, bei der es sich um eine Schwachstelle beim Laden von Tastaturlayouts im Kernel handelt. Bemerkenswert an MS10-073 ist, dass es noch zwei weitere bislang unbekannte Fehler behandelt. Da einer davon bei Analysen von Symantec gefunden wurde, spielte er vermutlich bereits bei aktiven Angriffen eine Rolle.

Mit dem Update sind nun aber drei der insgesamt vier von Stuxnet benutzten Lücken in Windows korrigiert. Wann die letzte beseitigt wird, gibt Microsoft nicht genau an; das Security Response Center schreibt in seinem Blog nur, dass ein kommendes Bulletin das Problem behandeln wird.

Daneben schließen vier Updates kritische Lücken im Internet Explorer, im Media Player, in JIT-Compler von .NET 4.0 und in der Verarbeitung von eingebetteten Zeichensätzen. Alle Fehler lassen sich laut Microsoft durch den Besuch einer manipulierten Webseite zum Einschleusen und Starten von Code missbrauchen. Allein im Internet Explorer haben die Redmonder zehn sicherheitsrelevante Probleme gelöst.

Weitere Updates beseitigen Fehler in Word, Excel, den Windows-Steuerelementen (comctl32), der MFC-Bibliothek und der Art wie die Windows Shell und WordPad COM-Objekte instanziieren. Die Fehler eignen sich ebenfalls zum Einschleusen von Code, allerdings muss ein Anwender dazu eine präparierte Datei auf dem System öffnen.

Darüberhinaus verhindern Patches für SharePoint, den Failovercluster-Manager, SChannel, das Remoteprozeduraufruf-Subsystem (RPCSS) und im OTF-Formattreiber das Ausspähen von Informationen, unerlaubte Änderungen und Denial-of-Service-Attacken. Weitere Details sind den einzelnen Bulletins zu den Lücken zu entnehmen. Das Security Bulletin Summary für Oktober 2010 von Microsoft gibt einen Überblick über die einzelnen Patches.

Update:
Einem Blog-Eintrag des Threat Research & Response Teams zu Folge hält das allmonatliche Update des Malicous Software Removal Tools (MSRT) eine brisante Neuerung bereit: Microsoft hat demnach Entdeckungs- und vor allem Reinigungs-Routinen für die Client-Software des Zeus-Bot-Netzes eingebaut. Zeus ist ein Trojaner-Baukasten, der auf Online-Banking-Betrug spezialisiert ist und im großem Stil an kriminelle Banden verhökert wird. Diese erstellen damit ihre eigenen ZBot-Varianten, um damit Bot-Netze aufzubauen. Angesichts der professionellen Art und Weise, wie Zeus entwickelt und vertrieben wird, dürfte es zwar nicht lange dauern, bis die Entwickler reagieren und ihre Software so anpassen, dass sie nicht mehr entdeckt wird. Aber mit etwas Glück wird die automatische Reinigung bis dahin die Bot-Netze deutlich dezimiert haben. (dab)