Details zu Microsofts Juli-Patches

Zunächst fällt auf, dass Microsoft wieder dazu übergeht, die Patches in kleinere Häppchen zu verteilen und nicht mehr wie bei dem Monster-Patch in MS04-011 alles in ein Update zu packen. Der Patch fasste Updates zu 14 Schwachstellen zusammen, die von LSASS und LDAP über das Hilfe-Center und den Win-Logon-Dienst bis hin zu SSL und den ASN.1-Parser reichten. Prompt zeigten sich Unverträglichkeiten, die dazu führten, dass Firmen den Patch nicht einspielen konnten und damit auch nicht gegen den zwei Wochen später auftauchenden Sasser-Wurm geschützt waren. Diesmal sind die einzelnen Patches sauber getrennt nach recht eng umrissenen Bereichen und lassen sich auch einzeln einspielen.

Kritisch: Taskplaner, 841873, MS04-022
Diese Schwachstelle ist etwas rätselhaft. Es geht um einen "ungeprüften Puffer im Taskplaner" - also wahrscheinlich einen Buffer Overflow. Wie damit übers Netz Code ausgeführt werden soll, ist im Moment nicht ganz klar; doch Microsoft hat diese Lücke sicher nicht ohne Grund als "critical" eingestuft. Der Schlüssel sind offenbar sogenannte .JOB-Dateien, über die man die Ausführung von Programmen zu bestimmten Zeitpunkten steuern kann. Wahrscheinlich reicht der Internet Explorer solche JOB-Dateien unter bestimmten Umständen an den Task-Planer weiter. Windows Server 2003 ist von diesem Problem nicht betroffen, Windows NT 4.0 nur dann, wenn Internet Explorer 6 installiert ist. Konkrete Details zu der Schwachstelle werden wohl erst (Demo-)Exploits enthüllen. Es ist sehr empfehlenswert, nicht bis dahin zu warten und den Patch schon jetzt einzuspielen.
Update: Brett Moore, der dieses Problem bereits im Juli 2003 entdeckt und an Microsoft gemeldet hat, veröffentlichte auf Bugtraq ein eigenes Advisory. Windows Explorer und Internet Explorer lesen und interpretieren .JOB-Daten bereits wenn sie ein Verzeichnis anzeigen. Enthält die .JOB-Datei ein übergrosses "to be executed"-Feld, kommt es zu einem Buffer Overflow, der sich ausnutzen lässt, um Code auszuführen. Laut Moore lässt sich dieser Fehler bereits in der HTML-Vorschau einer Mail ganz ohne User-Interaktion ausnutzen. Auch Web-Seiten können den Fehler über iFrames mit Verweisen auf öffentliche Windows Shares automatisch ausnutzen. Weitere Informationen liefert ein Advisory von NGSSoftware Insight Security Research.
Achtung: Es wurde ein Exploit veröffentlicht. Des weiteren hat Microsoft das Advisory aktualisiert und gibt weitere Workarounds an. Wer den Patch nicht einspielen kann, sollte unbedingt einen dieser Workarounds nutzen, um sein System zu sichern.

Kritisch: HTML-Hilfe, 840315, MS04-023
Nach MS04-011 und MS04-015 beseitigt dieses Update zwei weitere Sicherheitslöcher im Zusammenhang mit der Windows-Hilfe: ein bekanntes in der Funktion showhelp und ein bisher nicht veröffentlichtes. Das bekannte showhelp-Loch steht sicher in Zusammenhang mit den Browsercheck-Demos. Interessanterweise stuft Microsoft das bisher unveröffentlichte Loch höher ein als das bekannte, das ebenfalls schon die Installation von Trojanern übers Web ermöglichte. Dieser Patch ist absolute Pflicht für alle, die mit dem Internet Explorer im Web surfen, denn die Löcher werden bereits aktiv ausgenutzt, um Trojaner und Dialer zu installieren. Microsoft will deshalb auch Updates für Windows ME/98(SE) bereitstellen.
Update:Mittlerweile hat Brett Moore auf Full Disclosure ein Advisory mit konkreten Informationen veröffentlicht. Bei dem zweiten Fehler handelt es sich um einen Heap-Overflow, der durch manipulierte Hilfedateien ausglöst wird. Das Hilfeprogramm hh.exe übernimmt eine Längenangabe aus der CHM-Datei ungeprüft, um eine Kopieraktion durchzuführen (REPZ MOVSD). Moore hat diesen Fehler bereits Anfang Januar an Microsoft berichtet.

Hoch: Windows Shell, 839645, MS04-024
Hier stopft Microsoft ein Loch in einem Sieb: Durch das Update entfällt laut Microsoft die Möglichkeit, eine Class-ID als Dateityp innerhalb der Windows-Shell zu verwenden. Über die Class-ID konnten Angreifer bei heruntergeladenen Dateien einen falschen Dateityp vortäuschen. Anders als beim ADODB.stream-Update erlaubt Microsoft jedoch weiterhin den Aufruf von Shell-Objekten aus dem Internet Explorer. Solange es Microsoft nicht gelingt, die Grenze zwischen den Zonen "Internet" und "lokales System" abzudichten, wird die Shell also weiterhin für Ärger sorgen.
Update: Nach ersten Tests muss ich diese Einschätzung revidieren. Microsoft hat weitere Einschränkungen für das Shell-Objekt eingeführt und insbesondere die Möglichkeiten von Shell.Application stark reduziert, um die angesprochenen Probleme in den Griff zu bekommen.

Hoch: Hilfsprogramm-Manager, 842526, MS04-019
Hier handelt es sich um einen sogenannten Privilege-Elevation-Fehler über den ein Anwender mit eingeschränkten Rechten volle Kontrolle über das System erlangen kann. Betroffen sind diverse Versionen von Windows 2000. Windows NT 4.0, XP und Server 2003 sind nicht anfällig. Der Fehler lässt sich nur lokal ausnutzen.
Update: Mittlerweile existiert ein All-in-One-Exploit für alle Windows-2000-Versionen, der sich direkt von der Kommandozeile starten lässt.

Hoch: POSIX-Subsystem, 841872, MS04-020
Ein Fehler im Posix-Subsystem von Windows 2000 und NT 4.0 enthält einen ungeprüften Puffer. Durch einen Buffer Overflow kann ein lokaler Anwender mit eingeschränkten Rechten die Kontrolle über das System erlangen.
Update: Auch dafür ist bereits ein Exploit aufgetaucht.

Hoch: IIS 4.0, 841373, MS04-021
Der Web-Server IIS 4.0 enthält einen ungeprüften Puffer in der Umleitungsfunktion, der zu einem Buffer Overflow führen kann. Dieser lässt sich übers Netz zum Einbruch in den Server ausnutzen. Wer noch ein System mit IIS 4.0 betreibt, sollte diesen Patch schleunigst einspielen, da sicherlich bald fertige Exploits in Umlauf kommen, die systematisch nach anfälligen Servern suchen.

Mittel: Outlook Express, 823353, MS04-018
Mails mit speziell präparierten Header-Zeilen können Outlook Express zum Absturz bringen. Das Update behebt dieses Problem.

BITS
Parallel zu den Sicherheits-Updates hat Microsoft auch die Version 2.0 des "Intelligenten Hintergrundübertragungsdienstes" (BITS) freigegeben. Obwohl es sich nicht um ein Sicherheits-Update handelt, wird es von der Windows-Update-Funktion per Default installiert. Über BITS findet unter anderem der automatische Download von Updates statt. Dieser Windows-Dienst drosselt Übertragungen im Hintergrund so, dass Sie das Internet weiterhin nutzen können. Außerdem setzt er unterbrochende Downloads beim Wiederherstellen der Internet-Verbindung fort. (ju)