Microsoft-Patchday: Neun zu, zwei offen
Microsoft schließt Lücken im Windows Explorer, im Windows Domain Name System, SQL Server und im Exchange Server. Die bekannten Sicherheitsprobleme des Internet Explorer müssen noch warten.
Mit vier als wichtig eingestuften Updates schließt Microsoft Lücken im Windows Explorer, im Windows Domain Name System, SQL Server und im Exchange Server. Die bekannten Sicherheitsprobleme des Internet Explorer im Umgang mit Domänengrenzen und durch ein ActiveX-Control aus MS-Office sind jedoch noch nicht an der Reihe.
Die Explorer-Lücke in MS08-038 betrifft nur Windows Vista und Server 2008. Sie beruht auf einem Fehler im Explorer, wenn dieser eine Suche in einer .search-ms-Datei abspeichert. Durch speziell präparierte Suchdateien kann dabei ein Rechner mit Schadsoftware infiziert werden. Nebenbei beseitigt das Update auch noch einen Fehler, durch den sich unter Vista Autorun und Autoplay nicht zuverlässig abschalten ließen.
Der Domain Name Service in Windows 2000, XP und Server 2003 weist gleich zwei Probleme auf, die nicht nur DNS-Server, sondern die Namensauflösung aller betroffenen Windows-Systeme angehen. Wie die Sicherheitsnotiz MS08-037 enthüllt, hat auch der Windows DNS Probleme mit zu wenig Zufall. Offenbar ließen sich Transaktions-IDs für DNS-Anfragen so zuverlässig erraten, dass Angreifer gefälschte Antworten hätten erzeugen können, die dann im DNS-Cache landen.
Dieses Update bezieht sich offenbar auf das massive DNS-Sicherheitsproblem mehrerer Hersteller. Der Patch sorgt unter anderem dafür, dass der UDP-Quell-Port von DNS-Anfragen zufällig gewählt wird. Restriktive Konfigurationen von Personal Firewalls, die sich darauf verlassen, dass diese immer vom gleichen UDP-Port kommen, könnten damit Probleme bereiten und Anwender vom Internet abschneiden. Als Workaround kann eine Allow-Regel dienen, die UDP-Pakete von beliebigen Ports zu UDP-Port 53 des DNS-Servers des Providers und die zugehörigen Antworten gestattet.
Die zweite Lücke umschreibt Microsoft nur wolkig als DNS-Cache-Poisoning-Problem. Es scheint, als könne ein antwortender DNS-Server zusätzliche, ungefragte Antworten liefern, die der Empfänger fälschlicherweise auswertet und speichert. Das erinnert an ein Problem, das 2005 bei massiven Angriffen ausgenutzt wurde. Beim DNS-Cache-Poisoning manipulieren Angreifer das Domain Name System derart, dass Anfragen an einen Web-Server auf ihre Seiten umgeleitet werden.
Microsofts SQL Server hat offensichtlich Probleme mit der Speicherverwaltung. Gleich vier davon beseitigt der in MS08-040 beschriebene Patch. Betroffen sind die Versionen 7, 2000 und 2005; aber auch verschiedene auf SQL Server aufsetzende Dienste wie die Microsoft Data Engine und die Windows Internal Database (WYukon) in Windows Server 2003/2008 sind anfällig. Die Fehler führen anscheinend maximal zu einer ungewollten Offenlegung von Informationen oder der Erhöhung von Berechtigungen. So kann ein Angreifer zwar über drei verschiedene Pufferüberläufe Code einschleusen, er muss dazu allerdings bereits an der Datenbank angemeldet sein. Das wäre allerdings bei einem SQL-Injection-Angriff über ein Web-Frontend durchaus der Fall.
Um typische Anfälligkeiten von Web-Applikationen geht es in der Sicherheitsnotiz MS08-039 zu Exchange 2003/2007: Das Web-Frontend Outlook Web Access weist zwei Cross-Site-Scripting-Schwachstellen auf, die die deutsche Sicherheitsnotiz etwas verwirrend als "siteübergreifende Skripterstellung" übersetzt. Die Updates werden ab sofort über den automatischen Update-Dienst ausgeliefert; er bringt auch eine neue Version der Malicious Software Removal Tools.
Siehe dazu auch:
- Microsoft Security Bulletin Summary für Juli 2008 – Zusammenfassung von Microsoft
(ju)
