April-Patchday bei Microsoft: fünf mal kritisch und drei mal wichtig
Anwender sollten die Updates zum Schließen der Lücken im Internet Explorer, in VBScript und JScript, in MS-Project, in Office, im DNS-Client, im GDI sowie im Windows-Kernel so schnell wie möglich installieren.
- Christiane Rütten
Gemäß Ankündigung hat Microsoft am heutigen Patchday acht Sicherheitsupdates herausgegeben. Fünf haben die Gesamteinstufung "kritisch" erhalten und beheben Schwachstellen, die Angreifer unter Umständen übers Netz zum Ausführen von beliebigem Schadcode mit Anwenderrechten nutzen können. Eines der drei wichtigen Updates behebt allerdings auch eine Lücke im Windows-Kernel, über die man vollständige administrative Kontrolle über ein verwundbares System erlangen kann.
Die Bulletins MS08-023 und MS08-024 behandeln Schwachstellen, die alle Versionen des Internet Explorers auf allen Windows-Versionen betreffen. Um sich Schadcode einzufangen, müssen Anwender mit ihm lediglich eine manipulierte Webseite ansurfen. Der in MS08-024 behandelte Programmierfehler im Data-Stream-Handling des IE hat durchweg die Einstufung "kritisch" erhalten. In MS08-023 behandeln die Redmonder gleich zwei IE-Probleme. Zum Einen kann es im ActiveX-Control hxvz.dll zu einer Speicherkorruption kommen, die sich zum Einschleusen von Schadcode eignet. Zum Anderen ist mit dem zugehörigen Update nun das Killbit für zwei verwundbare ActiveX-Controls von Yahoo gesetzt. Laut Bulletin geschah dies auf Wunsch von Yahoo hin.
Unter Windows 2000 und XP stuft Microsoft die beiden ActiveX-Probleme als kritisch ein, auf Server 2003, das dessen Anwender nur selten zum Surfen einsetzen dürften, lediglich als mittelschwer. Unter Vista und Windows Server 2008 haben die Schwachstellen die Einstufung "wichtig" beziehungsweise "niedrig" erhalten, vermutlich weil sie sich dort aufgrund der neuen Sicherheitsmechanismen schwieriger ausnutzen lassen.
Eine kritische Sicherheitslücke in VBScript 5.6 und JScript 5.6 (MS08-022) tritt ebenfalls beim Surfen mit dem IE zutage, allerdings nicht unter Vista und Server 2008. In MS08-021 sind zwei Lücken im Graphics Device Interface (GDI) beschrieben. Beim Anzeigen von präparierten EMF- oder WMF-Bilddateien kann es zu Pufferüberläufen kommen, die Angreifer zum Einschleusen von beliebigem Schadcode nutzen können. Die GDI-Fehler betreffen alle Windows-Versionen und haben ebenfalls mit Einstufung "kritisch" versehen. Um die in MS08-018 beschriebene kritische Schwachstelle in Microsoft Project 2000 Service Release 1, 2002 SP&nbps1 und 2003 SP 2 auszunutzen, muss ein Angeifer seine Opfer dazu bringen, eine manipulierte Project-Datei zu öffnen.
Die drei Updates mit der Einstufung "wichtig" betreffen den Windows-Kernel (MS08-025), den Windows-DNS-Client (MS08-020) sowie Microsoft Office Visio (MS08-019). Der Kernel von allen Windows-Versionen filtert bestimmte Nutzerdaten nicht ausreichend, sodass Angreifer mit eingeschränktem Zugriff die vollständige administrative Kontrolle über ein verwundbares System übernehmen können. Der DNS-Client lässt sich bei der Namensauflösung falsche IP-Adressen unterschieben. Nicht betroffen sind laut Bulletin lediglich die Clients von Vista mit Service Pack 1 und Server 2008. Die Visio-Komponente der aktuellen Office-Pakete ist ebenfalls verwundbar. Wer unbedacht eine manipulierte Visio-Datei öffnet, fängt sich unter Umständen schädlichen Code ein. Lediglich der Visio-Viewer ist nicht von der Lücke betroffen.
Windows-Nutzer sollten nicht zögern und gemäß der Microsoft-Empfehlung die Updates umgehend einspielen, um die beschriebenen Sicherheitslücken zu schließen. Wer die Patches nicht vom automatischen Windows-Update einspielen lassen möchte, kann sie auch einzeln über die Update-Webseite von Microsoft beziehen.
Siehe dazu auch:
- Microsoft Security Bulletin Summary for April 2008
- MS08-018: Vulnerability in Microsoft Project Could Allow Remote Code Execution
- MS08-019: Vulnerabilities in Microsoft Visio Could Allow Remote Code Execution
- MS08-020: Vulnerability in DNS Client Could Allow Spoofing
- MS08-021: Vulnerabilities in GDI Could Allow Remote Code Execution
- MS08-022: Vulnerability in VBScript and JScript Scripting Engines Could Allow Remote Code Execution
- MS08-023: Security Update of ActiveX Kill Bits
- MS08-024: Cumulative Security Update for Internet Explorer
- MS08-025: Vulnerability in Windows Kernel Could Allow Elevation of Privilege
(cr)
