Microsoft schließt eine Lücke in Windows
Microsoft hat nur ein einziges Update veröffentlicht, das eine Lücke bei der Verarbeitung von "Embedded OpenType"-Schriftarten schließt. Die Lücke wird nur unter Windows 2000 als kritisch eingestuft.
- Daniel Bachfeld
Wie angekündigt hat Microsoft nur ein Update (MS10-001) veröffentlicht, das eine Lücke bei der Verarbeitung von "Embedded OpenType"-Schriftarten schließt. Ursache des Problems ist ein Überlauf beim Dekomprimieren manipulierter Schriftarten, die etwa in Dokumenten oder auf Webseiten eingebettet sind. Ein Angreifer kann dadurch eigenen Code in ein System schleusen und starten. Die Redmonder stufen das Sicherheitsrisiko jedoch nur unter Windows 2000 als kritisch ein. Für Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 stuft Microsoft die Wichtigkeit des Updates als niedrig ein.
Ungepatcht bleibt indes die Lücke im Internet Information Server 6.0 (IIS) beim Parsen von Dateinamen mit Semikolon-Erweiterung. Sie lässt sich bei bestimmten Konfigurationen ausnutzen, um eigene Skripte auf Windows-Webserver zu schleusen und auszuführen. Offen bleibt auch die seit Mitte November bekannte DoS-Schwachstelle in den SMB-Clients von Windows 7 und Windows Server 2008 R2. Der Fehler lässt sich aber ohnehin nur durch manipulierte SMB-Server ausnutzen, die fehlerhafte Pakete an Clients schicken – ein Szenario, das offenbar so selten auftritt, dass Microsoft bislang keine Angriffe beobachtet haben will.
Eine Lösung für eine Schwachstelle im Cross-Site-Scripting-Filter des Internet Explorer 8 ist ebenfalls noch nicht in Sicht. Durch den Fehler werden eigentlich nicht verwundbare Webseiten doch angreifbar. Microsoft soll bereits seit mehreren Monaten über das Problem informiert sein, hat es offiziell bislang aber nicht bestätigt. Google schaltet den XSS-Schutz des Internet Explorer 8 seit mehreren Wochen durch Senden des Headers X-XSS-Protection: 0 ab und ist somit nicht betroffen. Berichten zufolge hat Google diese Maßnahme aus Sicherheitsgründen ergriffen, da man von der IE-Schwachstelle wisse und Anwender schützen wolle, bis Microsoft einen Patch herausgegeben habe.
Siehe dazu auch:
- Microsoft Security Bulletin Summary für Januar 2010, Übersicht von Microsoft
- Microsoft bestätigt IIS-Lücke
- Sicherheitsfunktion des Internet Explorer 8 unsicher
(dab)
