Microsoft-Patchday: Windows, Flash Player und Exchange [2.Update]
Zum Mai-Patchday stellen die Redmonder insgesamt drei Updates bereit, zwei davon sind als kritisch eingestuft. Sie betreffen Windows XP, Windows 2000 und Windows Server 2003 sowie den Exchange Server 2003 und 2000.
Wie angekündigt stellt Microsoft am heutigen Mai-Patchday drei Updates zu seinen Software-Produkten bereit. Zwei davon betreffen Windows: Etwas verspätet reichen die Redmonder einen Patch für zwei kritische Fehler im vorinstallierten Macromedia Flash Player von Windows XP (32 Bit), 98 und ME (beschrieben im Security-Bulletin MS06-020) nach. Der Hersteller Adobe hat die Lücken, durch die ein Angreifer mit Hilfe präparierter SWF-Dateien beliebigen Schadcode zur Ausführung bringen könnte, bereits im März dieses Jahres beziehungsweise im November vergangenen Jahres behoben. Es steht zu hoffen, dass die damals beobachteten Probleme bei der Arbeit mit eingeschränkten Nutzerrechten beim Microsoft-Patch nicht auftreten. Windows-Anwender, die bereits die Adobe-Patches eingespielt haben, sind von dem Problem nicht mehr betroffen.
Der zweite Windows-Patch schließt zwei Schwachstellen im Distributed Transaction Coordinator (MSDTC) von Windows XP, 2000 mit Service Pack 4 und Server 2003 (MS06-018). Sie ermöglichen es einem Angreifer, den MSDTC-Dienst mit manipulierten Netzwerkpaketen zum Absturz zu bringen, was sich auf weitere Netzwerkapplikationen auswirken kann. Microsoft stuft die Bedeutung der Lücken unter Windows 2000 als "mittel", auf den anderen Systemen lediglich als "gering" ein.
Eine Schwachstelle im Kalender von Exchange Server 2003 und Exchange Server 2000 (MS06-019) hingegen erachtet Microsoft als kritisch. Ein Angreifer könnte dadurch über E-Mails mit manipulierten vCal- oder iCal-Inhalten unter Umständen beliebigen Schadcode zur Ausführung bringen und die Kontrolle über betroffene Server übernehmen.
Die Mai-Updates sollten unbedingt eingespielt werden, wobei nur auf Exchange-Servern besondere Eile geboten sein dürfte. Ein aktivierter Update-Dienst beispielsweise von Windows XP mit aktuellem Service Pack 2 sollte die Patches im Laufe der Nacht beziehungsweise nach dem Einschalten am kommenden Morgen automatisch einspielen. Andernfalls ist ein Besuch auf Microsofts Update-Seite oder die manuelle Installation der einzelnen Updates wie in den Bulletins beschrieben notwendig.
Update:
Der Flash-Patch aus MS06-020 bereitet offenbar Probleme wenn zwischenzeitlich auf einem System Flash Player 7 oder 8 installiert aber wieder entfernt wurde. In diesem Fall versucht Windows den Patch für Flash Player 6 einzuspielen, scheitert aber mit einer Fehlermeldung über eine falsche Version. Microsoft beschreibt in einem Knowledgebase-Artikel mehrere Workarounds. So können Anwender auf der Windows-Update-Seite einstellen, dass ihnen dieser Patch nicht mehr angeboten werden soll oder alternativ die Dateien Flash.ocx und Swflash.ocx löschen. Ein Update auf die aktuelle Flash-Player-Version beseitigt das Problem ebenfalls.
Vorsicht ist auch bei dem Exchange-Patch geboten, wenn man einen Blackberry Enterprise Server betreibt. Hier kann das Update zu Funktionsstörungen führen, die bewirken, dass Anwender keine E-Mails mehr versenden können. Der Microsoft-Artikel Users cannot send e-mail messages from a mobile device or from a shared mailbox in Exchange 2000 Server and in Exchange Server 2003 beschreibt die möglichen Gegenmaßnahmen.
Der Sicherheitsdienstleister eEye hat eigene Advisories zu den Patches herausgebracht. Daraus geht hervor, dass Microsoft eine der Schwachstellen im MSDTC schon mit dem Patch zum Security Bulletin MS05-051 zu schließen versuchte. Das Update behob den Fehler nicht auf allen Versionen der Betriebssysteme. Bei der Schwachstelle handelt es sich um einen Heap-basierten Pufferüberlauf. Hintergrundinformationen zu Heap Overflows liefert auch der Artikel Ein Haufen Risiko auf heise Security.
Siehe dazu auch: (cr)
- Microsoft Security Bulletin Summary für Mai 2006, Zusammenfassung von Microsoft
- MS06-020: Sicherheitsanfälligkeiten in Macromedia Flash Player von Adobe können die Codeausführung von Remotestandorten aus ermöglichen, Sicherheits-Bulletin von Microsoft
- MS06-019: Sicherheitsanfälligkeit in Microsoft Exchange kann Codeausführung von Remotestandorten aus ermöglichen, Sicherheits-Bulletin von Microsoft
- MS06-018: Sicherheitsanfälligkeit in Microsoft Distributed Transaction Coordinator kann zu einem DoS-Angriff (Denial-of-Service) führen, Sicherheits-Bulletin von Microsoft
- Nebenwirkungen beim Update des Flash-Players, Meldung von heise Security
