Microsoft-Patchday: Zwölf Updates für 23 Lücken

Insgesamt 23 Sicherheitslücken schließt Microsoft mit den heute herausgegeben Updates. Die Mehrzahl der in zwölf Security Bulletins beschriebenen Fehler stuft Microsoft als kritisch ein, da sich darüber ohne viel Zutun des Anwenders Schadcode in den Windows-PC einschleusen lässt. In vielen Fällen reicht der Besuch einer präparierten Webseite oder etwa das Öffnen eines Office-Dokuments aus. Für eine der von insgesamt acht heute bekannt gewordenen Lücken im Internet Explorer soll nach Angaben des US-CERT ein Exploit kursieren, der auf präparierten Webseiten auch bereits eingesetzt wird. Wie lange dies schon der Fall ist, gibt das US-CERT nicht an. Die anderen Lücken im Browser beruhen teilweise auf Fehlern beim Rendern von HTML-Seiten. Anwender sollten schnellstens die angebotenen Updates installieren.

Auch Outlook Express 6 hat ein Problem mit der Darstellung präparierter HTML-Dokumente. So provozieren fehlerhafte MHTML-Seiten (MIME Encapsulation of Aggregate HTML Documents) einen Buffer Overflow, über den sich Code einschleusen und ausführen lässt. Hier könnte schon das Öffnen einer präparierten Mail den PC etwa mit einem Trojaner infizieren. Einen Buffer Overflow beseitigt der Softwarekonzern auch in einem ActiveX-Control, das von der Windows-HTML-Hilfe benutzt wird.

Ein Update für Powerpoint soll zwei Sicherheitslücken schließen, die bereits seit dem vergangenen Patchday im Juli ausgenutzt werden. Mittels manipulierter Präsentationen versuchten Angreifer gezielt Mitarbeiter von Unternehmem mit Spionagesoftware zu infizieren. Neben dem Powerpoint-Update rollt Microsoft ein weiteres Update für Office aus, um einen Fehler in Visual Basic for Appliactions zu beheben. Auch dieser ermöglicht die Infektion eines PCs mittels präparierter Dokumente.

Des Weiteren haben die Redmonder zwei Lücken in der Windows Hyperlink Object Library (hlink.dll) geschlossen, bei der bereits beim Klick auf einen speziellen Link in einem Dokument oder einer E-Mail Schadcode ausgeführt wird. Merkwürdigerweise stuft Microsoft die seit Ende Juli bekannte Lücke nicht als kritisch ein.

Kritisch ist dagegen eine Schwachstelle im Server Service von Windows, den der Hersteller bereits am vergangenen Patchday mit einem Update bedacht hat. Kurz darauf zeigte aber ein Exploit, dass damit nicht alle Probleme beseitigt waren. Allerdings führt der Exploit nur zum Absturz des Servers. Der heute erschienene Patch soll aber eine "Remote-Code-Execution"-Lücke in diesem Dienst schließen. Ob es sich um das gleiche oder ein neues Problem handelt, müssen weitere Tests zeigen.

Besonders brisant sind auch zwei Fehler in den DNS-Funktionen von Windows. Unter anderem lässt sich der DNS-Client durch DNS-Pakete eines Servers Schadcode unterjubeln. Einer der beiden Fehler lässt sich bereits durch eine erzwungene DNS-Auflösung beim Besuch einer Web-Seite oder eventuell sogar beim Betrachten des Previews einer E-Mail auslösen. Beim anderen muss sich der Angreifer entweder zwischen dem verwendeten DNS-Server und dem Client befinden oder diesen veranlassen eine spezielle Anfrage an einen manipulierten Server zu schicken.

Zwei der gemeldeten Sicherheitslöcher betreffen nur Windows 2000: Ein Fehler der Microsoft Management Console beim Rendern von HTML-Seiten sowie ein Fehler im Kernel, über den Anwender ihre Rechte auf einem PC erhöhen können. Eine Privilege-Elevation-Schwachstelle steckt auch in den Kerneln von XP und Server 2003. Dort kommt aber noch eine Lücke hinzu, über die sich durch unbehandelte Ausnahmen Code in den Rechner einbringen lässt. Laut Bulletin soll das ganze beim Besuch einer präparierten Webseite passieren, Einzelheiten nennt der Hersteller zu der kurios klingenden Lücke wie gewohnt jedoch nicht.

Zuletzt bügelt Microsoft noch eine Schwachstelle im Windows Explorer aus, die beim Drag & Drop zwischen Windows Explorer und Internet Explorer zutage tritt. Bleibt zu hoffen, das dieses Update nicht wieder schädliche Nebenwirkungen zeigt, wie zuletzt das Windows-Explorer-Update vom April, in dessen Folge ein Patch für den Patch erschien.

Mit dem August-Patchday setzt sich der rapide Anstieg schwerwiegender Sicherheitslücken fort. Die Zahl der Bulletins zu kritischen Lücken in diesem Jahr übertrifft schon jetzt das gesamte Jahr 2005. Da erschienen insgesamt 29 Bulletins mit der Einstufung "kritisch", von Januar bis August 2006 bereits 33. Noch dramatischer präsentiert sich diese Entwicklung, wenn man nicht die Updates sondern die Zahl der als kritisch eingestuften Fehler betrachtet. Waren das 2005 "nur" 37, kommen 2006 einschließlich der August-Patches bereits 54 zusammen -- und das Jahr ist noch lange nicht vorbei.

Siehe dazu auch: (dab)

• Microsoft Security Bulletin Summary for August, 2006 Microsofts Zusammenfassung mit Hinweisen und Links zu den einzelnen Updates auf Englisch
• Microsoft Security Bulletin Summary für August 2006, Microsofts Zusammenfassung auf Deutsch