Microsoft

Es ist wieder Ruhe eingekehrt nach dem etwas hektischen letzten Januarwochenende, das ‘SQLSlammer’ Teilen der IT-Welt bescherte. In Redmond, wo man ja ebenfalls nicht vor diesem Netzwerk-Wurm verschont blieb, herrscht ‘business as usual’: Microsoft hat mal wieder einen der beliebten ‘cumulative patches’ für den Internet Explorer veröffentlicht - und das gleich zweimal.

Die erste Version des Sammelflickens erschien am 5. Februar und behebt zwei Sicherheitslücken im so genannten ‘ross-domain security model’. Dabei handelt es sich schlicht um die Tatsache, dass zwei verschiedene IE-Fenster keine Informationen untereinander austauschen dürfen, wenn sie Inhalte unterschiedlicher Sites anzeigen. So richtig hat das noch nie funktioniert, was doch etwas ärgerlich ist, da immerhin die Gefahr besteht, dass arglose Anwender unbeabsichtigt vertrauliche Informationen an hinterhältige Hacker verraten.

Diese neuen Sicherheitslecks trachteten die Microsofties also mit dem Sammelflicken zu schließen, übersahen dabei aber leider, dass sie Benutzer des IE6 unter bestimmten Umständen mit dem Sicherheits-Patch von ihrem eigenen kostenlosen E-Mail-Dienst Hotmail ausschlossen. Der überarbeitete Hotfix ließ dann auch nicht lange auf sich warten (810847).

Den kürzlich erschienen Hotfix, der eine Sicherheitslücke in der Windows API, genauer gesagt in der Implementierung der Systemnachricht wm_timer verschließen soll (siehe iX 02/03), gibt es ebenfalls in einer Neuauflage. Die NT-4-Version des Original-Flickens ist nicht ganz fehlerfrei und kann unter Umständen den Rechner destabilisieren. Wer den Patch aufgespielt hat, sollte sich folglich die aktuelle Version besorgen, die diesen Fehler nicht mehr aufweist (328310).

Der Windows Redirector sorgt dafür, dass der Benutzer sowohl auf lokale Dateien als auch wie auf solche, die auf einem anderen Rechner liegen, einheitlich zugreifen kann. Die Komponente ermöglicht das Verbinden von Laufwerksbuchstaben mit Netzwerk-Shares und abstrahiert vom zugrunde liegenden Netzprotokoll. In der XP-Implementierung des Redirector existiert ein ungeprüfter Speicherbereich, den ein Angreifer ausnutzen kann, um sich weitergehende Rechte zu verschaffen. Die Voraussetzung dafür ist allerdings, dass er sich lokal an der betroffenen Maschine anmeldet, womit sich dieses Sicherheitsloch nicht sonderlich für einen effizienten Angriff eignet. Wer trotzdem auf Nummer Sicher gehen möchte, installiert den passenden Patch (810577).

Ein weiterer Pufferüberlauf existiert in der cmd.exe, dem Kommandozeileninterpreter von NT 4 und Windows 2000. Während diese Tatsache unter NT 4 einen Angreifer in die Lage versetzt, eigenen Code auszuführen, erreicht man unter Win2k lediglich ein Einfrieren der entsprechenden ###italic[cmd]italiczu###-Instanz. Ob es sich dabei um ein Sicherheitsloch handelt, wie der russische Entdecker behauptet, sei dahingestellt: schließlich kann sowieso jeder, der den fraglichen Exploit-Code in die Kommandozeile einschleusen kann, beliebigen Code im selben Sicherheitskontext einfach per Programmaufruf starten. Einen Pufferüberlauf brauchts dafür gar nicht. Wer Näheres wissen möchte, schaut unter www.security.nnov.ru nach, einen Patch gibt es allerdings nicht.

Näheres zu den einzelnen Sicherheitsproblemen sowie die angegebenen KnowledgeBase-Artikel gibt es online. (wm)