Sicherheits-Update für Internet Explorer, DirectX und Excel

Acht Updates von Microsoft sollen insgesamt 23 Sicherheitslücken in verschiedenen Kompenenten und Anwendungen schließen. Von den Lücken stuft Microsoft mehrere als kritisch ein, da sie das Einschleusen und Ausführen von Code aus der Ferne ermöglichen.

Allein das kumulative Update (MS09-014) für den Internet Explorer in den Versionen 5, 6 und 7 beseitigt sechs Lücken, wobei allerdings nicht jede der Lücken in jeder Version zu finden ist. Bei einigen genügt aber der Aufruf einer präparierten Webseite, um Opfer eines Angriffs zu werden. Nach Einschätzung der Redmonder ist es aufgrund der Komplexität der Fehler sehr unwahrscheinlich, dass es funktionierende Exploits geben wird. Im Internet Explorer 8 ist indes keine der Lücken zu finden.

Die Updates MS09-009 und MS09-010 schaffen zwei Schwachstellen in Excel und vier in Wordpad- und Office-Textkonvertern aus der Welt. Eine der Excel-Lücken war insgesamt sechs Wochen bekannt und wurde schon für gezielte Angriffe ausgenutzt. Für die vergangene Woche bekannt gewordene Lücke in PowerPoint gibt es noch keinen Patch. Einen Fehler in DirectX 8.1 und 9.0 (a, b, c) soll das Update MS09-011 korrigieren. Beim Abspielen manipulierter MJPEG-Streams tritt nämlich ein Problem in DirectShow auf, das sich zum Einschleusen und Ausführen von Code eignet.

Microsofts Programmierschnittstelle WinHTTP weist drei Schwachstellen auf, die das Update MS09-013 beheben soll. Unter anderem können Angreifer über bösartige Server einen Integer Underflow provozieren, durch den sich ein System kompromittieren lässt. WinHTTP wird sowohl von Microsoft Windows-Komponenten (unter anderem UPnP) als auch von Drittanbietersoftware verwendet. Aufgrund eines Fehlers bei der Verarbeitung von Zertifikaten lassen sich auf WinHTTP-basierende Anwendungen gültige Zertifikate vorgaukeln. Zudem bügelt das Update die seit längerem bekannte SMB-Reflection-Schwachstelle nun auch in WinHTTP aus.

Das Windows-Update MS09-012 soll das Erhöhen von Zugriffsrechten für Anwender mit eingeschränkten Rechten aufgrund von Fehlern im Microsoft Distributed Transaction Coordinator (MSDTC), dem WMI-Provider und im RPCSS-Dienst verhindern. Darüber hinaus sorgt das Update dafür, dass Windows Zugriffssteuerungslisten (ACLs) künftig richtig durchsetzt. Laut Microsoft gibt es bereits Angriffe auf alle vier Lücken: "Diese Sicherheitsanfälligkeit wird derzeit in der Internetumgebung ausgenutzt." Das überrascht nur wenig, sind die Lücken doch seit einem Jahr bekannt. Im April 2008 hatte Cesar Cerrudo die Probleme bereits auf der Sicherheitskonferenz HITBSecConf2008 vorgestellt.

Eine weniger bedrohliche Schwachstelle hat der Software-Konzern in der SearchPath-Funktion beseitigt (MS09-015). Für einen erfolgreichen Angriff muss das Opfer aber eine bestimmte Datei herunterladen und auf dem Desktop öffnen. Des Weiteren macht das Update MS09-016 den Microsoft ISA Server und das Forefront Threat Management Gateway (Medium Business Edition) weniger anfällig für Angriffe auf zwei Denial-of-Service-Schwachstellen. Unter anderem ließ sich der Weblistener durch bestimmte TCP-Pakete zum Stillstand bringen.

Anwender sollten nicht zögern und die Updates möglichst bald installieren. Es wäre nicht das erste Mal, dass etwa für Lücken im Internet Explorer entgegen Microsofts Einschätzung relativ schnell funktionierende Exploits auftauchen.

Siehe dazu auch

• Microsoft Security Bulletin Summary für April 2009, Zusammenfassung von Microsoft

(dab)