Acht Update-Pakete und zwei Zero-Day-Exploits zum Microsoft-Patchday
Windows-Komponenten, die Windows-Suche von Vista, Word, Excel, der Internet Explorer und Visal Basic -- für alle ist ein Update dabei. Doch die Bescherung wird überschattet von zwei Zero-Day-Exploits für den IE7 sowie den SQL Server 2000.
- Christiane Rütten
Zum Dezember-Patchday hat der Weihnachtsmann acht Update-Päckchen aus Redmond mitgebracht. Mit dabei sind Sicherheits-Patches für die Windows-Systemkomponente GDI, die Media-Komponenten, die Windows-Suche, den Internet Explorer, Word, Excel, Visual Basic 6.0 sowie den SharePoint und Search Server. Auch das Windows-Tool zum entfernen bösartiger Software wurde wieder mit einem Update bedacht.
Die vorweihnachtliche Bescherung trüben allerdings soeben aufgetauchte Zero-Day-Lücken, die die Patches anscheinend noch nicht schließen. Der Sicherheitsexperte Bernhard Mueller von SEC Consult berichtete bereits früher am Tag von einem Speicherproblem in Microsoft SQL Server 2000, das er im Labor ausnutzen konnte, um Code in ein System einzuschleusen und auszuführen.
Darüber hinaus kursiert in chinesischen Foren ein Exploit im Zusammenhang mit der Art und Weise wie Internet Explorer 7 XML behandelt. Die amerikanische Web-Site PCWorld zitiert den Sicherheitsexperten Wayne Huang von Armorize Technologies mit der Aussage, dass diese Lücke bereits aktiv ausgenutzt werde. Auf einem Windows-XP-Testsystem von heise Security, das bereits mit den Dezember-Updates versehen war, startete der Zero-Day-Exploit ein Programm namens ko[1].exe, das sofort Kontakt mit einem chinesischen Server aufnahm und begann Rootkit-Komponenten nachzuladen. Somit handelt es sich um ein äußerst schwerwiegendes Problem, das Nutzer des Internet Explorer 7 akut gefährdet. Als temporäre Gegenmaßnahme hilft es, wie im Browsercheck beschrieben Active Scripting zu deaktivieren.
Auch wenn sie gegen diese zwei neuen Probleme noch nichts ausrichten, sollte man die bereitgestellten Patches bald möglichst installieren. Alle sechs als "kritisch" eingestuften Updates beheben Fehler, die Angreifer schlimmstenfalls beliebigen Schadcode einschleusen und ausführen lassen können. Dazu gehört das Patch-Paket für die Windows-Grafikbibliothek GDI (Graphics Device Interface) von allen Windows-Versionen (MS08-071). Bei der Verarbeitung von Bilddateien im WMF-Format kann es zu einem Integer-Überlauf sowie einem Überlauf auf dem Heap kommen, sodass Angreifer die vollständige administrative Kontrolle über verwundbare Systeme übernehmen können, selbst wenn der Anwender mit eingeschränkten Nutzerrechten arbeitet. Der Anwender muss dazu nicht einmal eine manipulierte Bilddatei öffnen; Programme wie beispielsweise der Internet-Explorer tun dies etwa beim Darstellen von Webseiten automatisch.
Die Sicherheitslücken in der Windows-Suche von Vista und Server 2008 (MS08-75) lassen sich ausnutzen, wenn der Nutzer auf manipulierte Such-URLs klickt oder spezielle Suchdateien öffnet. Angreifer können dadurch ebenfalls unabhängig von den Privilegien des Anwenders die administrative Kontrolle erlangen. Der Internet Explorer in den Versionen 5.01, 6 und 7 hat wieder ein kumulatives Sicherheits-Update verpasst bekommen (MS08-073), das insgesamt vier Lücken schließt, durch die sich Anwender beim Surfen im Netz mit Schadprogrammen infizieren können. Dies trifft auch auf den Programmierfehler in einer Active-X-Komponente von Visual Basic 6.0 zu (MS08-070)
Jeweils acht beziehungsweise drei Programmierfehler hat Microsoft in Word (MS08-072) und Excel (MS08-074) behoben. Die Sicherheitslücken lassen sich ausnutzen, wenn Anwender entsprechende Office-Dokumente öffnen. Für die Office-Versionen nach 2000 haben die Schwachstellen lediglich die Einstufung "hoch" erhalten; im Falle von Word 2007 hält Microsoft das Problem jedoch ebenfalls für "kritisch". Die Word-Programmierfehler befinden sich allerdings nicht in Office 2000, 2002 und 2003, wenn bereits das Service-Pack 3 eingespielt wurde.
Die Schwachstellen in den Windows-Media-Komponenten Media Player 6.4, Windows Media Format Runtime und den Windows Media Services (MS08-076) ermöglichen zwar ebenfalls unter anderem Schadcodeausführung übers Netz, haben aber nur Sicherheitseinstufung "hoch" erhalten. Mit der gleichen Priorität hat Microsoft auch das Update für den SharePoint Server 2007 und Search Server 2008 versehen (MS08-077). Ohne die Patches können Angreifer unautorisierten Zugang zu einigen Administrationsfunktionen verschaffen, mit denen Sie den Dienst lahmlegen oder an geschützte Informationen gelangen können.
Insgesamt 13 Lücken, bei denen Microsoft das Auftauchen von "konsistentem Angreifercode" für "wahrscheinlich" hält (Ausnutzbarkeitsindex 1) und zwei noch offene Zero-Day-Lücken, von denen eine bereits aktiv ausgenutzt wird – ein ruhiges Jahresende sieht anders aus.
Siehe dazu auch:
- MS08-070 - Sicherheitsanfälligkeiten in Visual Basic 6.0 Runtime Extended Files (ActiveX-Steuerelemente) können Remotecodeausführung ermöglichen
- MS08-071 - Sicherheitsanfälligkeiten in GDI können Remotecodeausführung ermöglichen
- MS08-072 - Sicherheitsanfälligkeiten in Microsoft Office Word können Remotecodeausführung ermöglichen
- MS08-073 - Kumulatives Sicherheitsupdate für Internet Explorer
- MS08-074 - Sicherheitsanfälligkeiten in Microsoft Office Excel können Remotecodeausführung ermöglichen
- MS08-075 - Sicherheitsanfälligkeiten in der Windows-Suche können Remotecodeausführung ermöglichen
- MS08-076 - Sicherheitsanfälligkeiten in Windows Media-Komponenten können Remotecodeausführung ermöglichen
- MS08-077 - Sicherheitsanfälligkeit in Microsoft Office SharePoint Server kann Erhöhung von Berechtigungen verursachen
- Sicherheitslücke in MS SQL Server 2000, Bericht auf heise Security
- In the wild IE7 0day, erste Analyse des IE7-Exploits von Thierry Zoller
(cr)
