19 Sicherheitslücken in Windows-Komponenten und -Anwendungen geschlossen

Zu den verwundbaren Komponenten zählen WINS, Telnet und erneut die Active Template Library. Zudem beseitigen die Updates kritische Lücken in den Office Web Components sowie ein DoS-Lücke in ASP.NET, durch die Anwendungen auf dem IIS aus dem Tritt geraten.

In Pocket speichern vorlesen Druckansicht 136 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Daniel Bachfeld

Neun Updates von Microsoft schließen insgesamt 19 Sicherheitslücken in diversen Windows-Komponenten und -Anwendungen. Dazu gehört auch die seit rund vier Wochen bekannte kritische Lücke in einem ActiveX-Control der Office Web Components – wobei das Update MS09-043 gleich noch drei weitere Löcher in dem Control beseitigt. Ein Update (MS09-044) für die Remotedesktopverbindung verhindert, das ein bösartiger RDP-Server sowie eine manipulierte Webseite Schadcode in den RDP-Client schleusen und ausführen können.

Nach der Installation des Updates MS09-038 können Angreifer zwei Schwachstellen bei der Verarbeitung präparierter AVI-Dateien unter Windows weniger ausnutzen. Laut Microsoft lassen sich die Fehler unabhängig vom Windows Media Player provozieren.

Zwar hat man die Problematik rund um die Active Template Library (ATL) und die damit verbundene Unwirksamkeit von Killbits für ActiveX-Controls bereits vor zwei Wochen mit einem Eil-Patch bedacht. Nun legen die Redmonder aber sicherheitshalber nochmal nach und veröffentlichen ein Update MS09-037, das fünf weitere Lücken in der ATL beseitigt – und damit eine ganze Latte darauf beruhender Anwendungen wieder sicherer machen soll. Allein für Windows XP listet Microsoft 13 ActiveX Controls auf, die das Ausführen von Code übers Netz erlauben. Das DFN-CERT hat Hintergrundinformationen zur ATL-Problematik zusammengestellt.

Zwei weitere kritische Fehler finden sich in WINS, die sich ohne Update MS09-039 zum Kompromittieren eines Windows-Systems ausnutzen lassen. Betroffen sind nur Windows 2000 (SP4) und Server 2003 (SP2), auf denen WINS aber standardmäßig nicht installiert ist. Erst wenn der Anwender den WINS-Dienst manuell nachinstalliert hat, tut sich die Lücke auf.

Ein Update MS09-036 für ASP.NET korrigiert eine Schwachstelle, durch die auf dem Internet Information Services (IIS) 7.0 laufende Anwendungen nicht mehr reagieren. Dazu genügen es laut Microsoft, präparierte HTTP-Requests an den Server zu schicken. Normale HTML-Dateien liefert der Server aber weiterhin aus. Der Angriff funktioniert nur bei solchen Server, auf denen ASP 2.0 auf IIS 7.0 im integrierten Modus gehostet wird.

Jeweils ein Update (MS09-041, MS09-040) für den Windows Workstation Dienst und den Message Queuing Service (MSMQ) bessern Fehler aus, mit dem Anwender an höhere Rechte auf einem System gelangen können. Zudem hat Microsoft eine Schwachstelle MS09-042 im Telnet-Dienst in Zusammenhang mit der Authentifizierung mittels NTLM beseitigt.

Ein präparierter Server könnte die empfangenen Login-Daten an sein Opfer zurücksenden, um Zugriff auf dessen PC zu erhalten. Dafür müssen auf dem PC des Opfers allerdings die Ports 139 und 445 erreichbar sein, was etwa der Fall ist, wenn die Datei- und Druckfreigabe im LAN aktiviert ist und die Firewall die Ports nicht blockiert. Ein ähnliches Problem (SMB Reflection Attacks) hat der Softwarekonzern bereits im November 2008 gelöst.

Weitere Details zu den Lücken in WINS, den ATLs und ASP.NET sind im Blog von Microsoft Security Research & Defense zu finden. Eine grafische Übersicht des Ausnutzbarkeitsindex hat Microsoft im Blog des Security Response Center veröffentlicht. Nur für die Lücke in ASP.NET hält Microsoft das Auftauchen eines Exploits für unwahrscheinlich.

Siehe dazu auch:

(dab)