Microsoft Patch-Day: Sechs Windows-Updates im August

Wie angekündigt stellt Microsoft sechs Updates bereit. Die mit den Patches beseitigten Lücken im Internet Explorer, dem Plug&Play-Code und im Drucksystem sind von Microsoft als kritisch eingestuft. Das Update der Telefoniedienste klassifiziert Microsoft als wichtig, während die Lücken in Kerberos und im Remote-Desktop-Protokoll nur die Einstufung "mittel" erhalten.

Das Update MS05-038 für den Internet Explorer stopft eigentlich drei Lücken. Das von Sec-Consult entdeckte Problem mit COM-Objekten, die im Internet-Explorer gestartet werden, beschränkte sich wie vermutet nicht auf die Java-VM. Für vierzig weitere COM-Objekte setzen die Redmonder jetzt das Kill-Bit und verhindern damit den Aufruf aus dem Browser. Auch die von Zalewski entdeckten Probleme bei der Behandlung kaputter Bilder soll das Update beseitigen. Und schließlich behebt der Patch noch eine nicht weiter spezifizierte Verletzung der Cross-Domain-Sicherheitsregeln.

Ein Pufferüberlauf im Plug&Play-Subsystem lässt sich laut MS05-039 nur auf Windows 2000 ohne Authentifizierung übers Netz ausnutzen, bei Windows XP SP2 und Windows Server 2003 stuft Microsoft das Problem als lokal und damit weniger schwerwiegend ein.

Ähnliches gilt für einen Pufferüberlauf im Druckerwarteschlangendienst. MS05-043 zufolge führt er bei Windows XP Service Pack 2 und Windows Server 2003 nur zum Absturz des Druckdienstes, lässt sich aber nicht wie bei Windows 2000 und früheren XP-Versionen ausnutzen, um fremden Code auszuführen.

Im Telephony Application Programming Interface (TAPI) kann es ebenfalls zu einem Pufferüberlauf kommen, da Benutzerangaben ohne Längenprüfung kopiert werden. Auch hier besteht das höchste Risiko auf Windows-2000-Systemen, wo sich die Lücke unter Umständen übers Internet ausnutzen lässt.

Die bereits gemeldete Schwachstelle im Remote Desktop Protokoll hingegen führt laut Microsoft schlimmstenfalls zu einem Neustart des Systems. Wer den Remote Desktop, die Remote-Unterstützung oder Terminal Services einsetzt, sollte jedoch beachten, dass diese nicht ausreichend gegen das Ausspähen von Passwörtern gesichert sind. Details dazu erläutert der heise-Security-Artikel Kleiner Lauschangriff gegen Windows-Fernwartung.

Schließlich beseitigt Microsoft noch einen Fehler im Authentifizierungsdienst Kerberos. Ob das mit dem kürzlich gemeldeten Problem der Kerberos-Implementierung des MIT zusammenhängt, ist dem Bulletin MS05-042 nicht zu entnehmen.

Alle Patches sind sowohl über den automatischen Update-Service als auch via WUS und SUS erhältlich. Da es sich um Sicherheits-Updates handelt, ist dafür die CD-Key-Prüfung des Windows-Genuine-Advantage-Programms nicht erforderlich. Anwender und Administratoren sollten die Patches so schnell wie möglich einspielen. Die angekündigte Aktualisierung des Update Rollup 1 für Windows 2000 SP4, um nach der Freigabe bekannt gewordene Probleme zu beheben, hat Microsoft bislang noch nicht veröffentlicht.

Siehe dazu auch: (ju)

• Security Bulletin Summary for August, 2005 von Microsoft
• Security Bulletin Summary für August 2005 von Microsoft (Deutsch)
• Known Issues, Microsoft-Dokument zu Update Rollup 1 für Windows 2000