Microsoft-Patchday beseitigt kritischen Fehler im TCP/IP-Stack
Der Fehler tritt offenbar trotz oder sogar wegen der Windows Firewall auf. Darüber hinaus gibt es Updates für Windows Mail/Meeting, für Active Directory und ein Kernel-Problem im Zusammenhang mit Truetype-Schriften.
Microsofts Implementierung des TCP/IP-Protokollstacks für Windows enthält einen kritischen Fehler, der sich übers Netz ausnutzen lässt, um Code einzuschleusen und auszuführen. Das allein ist eine ziemliche Überraschung, wenn man berücksichtigt, wie intensiv dieser Code bereits untersucht wurde. Hinzu kommt, dass der Fehler anscheinend von Dritten entdeckt und gemeldet wurde, die es vorzogen, anonym zu bleiben.
Der in der Sicherheitsnotiz MS11-083 beschriebene Fehler beruht auf einem Integer-Überlauf in einem Zähler für UDP-Pakete. Das Problem tritt ausgerechnet dann auf, wenn der zugehörige UDP-Port nicht von einem lokalen Dienst genutzt wird, der Angreifer aber trotzdem einen kontinuierlichen Strom von Paketen an diesen sendet. Die Windows Firewall wird in dem Advisory nicht als mögliche Schutzmaßnahme aufgeführt, was man eigentlich nur so interpretieren kann, dass der Fehler trotz der – oder vielleicht sogar durch die Windows Firewall auftritt.
Schutz für ungepatchte Windows-Systeme bietet eine externe Firewall, die derartige Pakete nicht ins lokale Netz weiterleitet. Rechner in Firmennetzen aber auch Heimanwender hinter einem Hardware-Router mit Firewall-Funktion dürften somit nicht ohne weiteres angreifbar sein. Windows XP und Server 2003 sind übrigens ohnehin nicht betroffen. Dass Microsoft zwar erklärt, es habe von der Schwachstelle "durch eine koordinierte Offenlegung" erfahren, aber den Namen des großzügigen Bug-Spenders nicht nennt, ist ebenfalls ungewöhnlich. Für die drei anderen heute beseitigten Lücken finden sich personalisierte Danksagungen im Microsoft Security Bulletin Summary für November 2011.
Die zweite Lücke findet sich in Windows Mail und Windows Meeting. Ihr Schweregrad wird nur als hoch eingestuft, weil der Anwender zuvor eine EML- oder WCINV-Datei in einem externen Verzeichnis öffnen muss. Das kann dazu führen, dass die zuständigen Windows-Programme eine ebenfalls dort abgelegte, bösartige DLL laden. Der dritte Fehler tritt nur dann auf, wenn Active Directory mit SSL-verschlüsseltem LDAP eingesetzt wird, was standardmäßig nicht der Fall ist. Und schließlich liefert Microsoft noch ein Update gegen einen Kernel-Treiber-Bug, der durch Truetype-Schriften ausgelöst wird und Windows 7 und Server 2008 zum Absturz bringen kann.
Obwohl auch die von Duqu genutzte 0day-Lücke die Behandlung von Truetype-Schriften im Windows-Kern betrifft, scheint es sich nicht um den gleichen Bug zu handeln. Die Duqu-Lücke kann zu erhöhten Rechten im System führen und wird unter der Kennung CVE-2011-3402 geführt, während die heute geschlossene Lücke unter CVE-2011-2004 firmiert. Es empfiehlt sich also weiterhin, das von Microsoft bereitgestellte Fix-it einzuspielen. (ju)
