Microsoft Patchday beseitigt Sicherheitsprobleme mit Web-Fonts, Outlook und Exchange

Am Januar-Patchday schließt Microsoft drei kritische Sicherheitslücken in seinen Betriebssystemen sowie in Outlook und Exchange, zwei davon sind neu. Neben dem vorab veröffentlichten Patch für die zwischen Weihnachten und Neujahr bekannt gewordene WMF-Schwachstelle beseitigt das Redmonder Unternehmen auch einen Fehler, der durch in Webseiten eingebettete präparierte Zeichensätze (Webfonts) zum Einschmuggeln und Ausführen von Schadcode missbraucht werden kann. Der dritte Softwareflicken soll verhindern, dass Outlook und Exchange beim Verarbeiten von manipulierten E-Mails im proprietären, von Microsoft entwickelten Transport Neutral Encapsulation Format (TNEF) patzen.

Der Patch zum Schließen der WMF-Lücke beseitigt die seit kurzem im Internet intensiv ausgenutzte Schwachstelle im GDI. Das 16 Jahre alte Grafikformat scheint aber noch weitere Probleme zu haben; Andreas Marx von AV-Test hat derer über zehn ausgemacht. Bisher gibt es jedoch keine Bestätigung, dass sich damit mehr als Programmabstürze herbeiführen ließen.

Im zweiten Security-Bulletin des Jahres warnt der Softwarekonzern, dass Angreifer über das Einbetten von manipulierten Webfonts in Webseiten oder in E-Mails die vollständige Kontrolle über das System übernehmen könnten. Laut zugehöriger eEye-Sicherheitsmeldung tritt bei der Verarbeitung defekter Webfonts ein Pufferüberlauf auf dem Heap der T2EMBED.DLL auf. Dazu muss ein Anwender diese Mails mit Outlook (Express) als HTML-Mails anzeigen beziehungsweise mit dem Internet Explorer auf den schadhaften Webseiten unterwegs sein. eEye hat diesen kritischen Fehler im Juli 2005 an Microsoft berichtet.

Betroffen von dem Fehler sind alle Windows-Version ab Windows 98 aufwärts. Da die Standardkonfiguration von Outlook Express unter Windows Server 2003 vorsieht, E-Mails nur als Text anzuzeigen, ist dort der E-Mail-Angriffsvektor beschnitten. Nutzer von Windows 98, 98 SE oder ME stehen vorerst im Regen. Da hier der Lebenszyklus der Produkte vorüber ist, liefert Microsoft Updates erst später. Anwender mit NT4 sind laut Security Bulletin angehalten, ihren Microsoft-Support zu kontaktieren, um kostenpflichtige Updates zu erhalten – oder auf neuere Windows-Betriebssysteme umzusteigen.

In Outlook ab Version 2000 sowie im Exchange-Server 5.0 und 5.5 merzt Microsoft einen Fehler beim Verarbeiten von E-Mails im proprietären Transport Neutral Encapsulation Format aus. Wer kein Outlook verwendet, kennt diese Mails vielleicht von den obskuren Dateianhängen namens Winmail.dat, die Formatierungsanweisungen für das Rich-Text-Format enthalten. Auch hier können überlange Datenfelder zu einem Pufferüberlauf führen, der sich ausnutzen lässt und zur Kompromittierung des Systems führen kann. Diese Lücke wurde von John Heasman und Mark Litchfield von NGS Software entdeckt und gemeldet.

Da alle gepatchten Lücken als kritisch eingestuft werden, ist ein zügiges Update anzuraten. Erste Exploits, die diese Lücken nutzen, werden erfahrungsgemäß in Kürze auftauchen. Wie Microsoft in den Security Bulletins als entschärfenden Faktor für die Fehler angibt, fällt der potenzielle Schaden geringer aus, wenn der Anwender mit eingeschränkten Benutzerrechten arbeitet. Vielleicht ist dies ein Ansporn für Nutzer, einen neuen Administrator-Account anzulegen und dem eigenen Konto diese Rechte zu entziehen.

Siehe dazu auch: (dmk)

• Microsoft Security Bulletin Summary für Januar 2006 von Microsoft
• Sicherheitsanfälligkeit in Grafikwiedergabemodul kann Remotecodeausführung ermöglichen (912919) von Microsoft
• Sicherheitsanfälligkeit bei eingebetteten Webschriftarten kann Remotecodeausführung ermöglichen (908519) von Microsoft
• Windows Embedded Open Type (EOT) Font Heap Overflow Vulnerability von eEye Security
• Sicherheitsanfälligkeit bei der TNEF-Decodierung in Microsoft Outlook und Microsoft Exchange kann Remotecodeausführung ermöglichen (902412) von Microsoft