20 auf einen Streich: Microsoft patcht RPC & Co
Mit den Sicherheits-Updates für April behebt Microsoft eine ganze Reihe von Schwachstellen: Drei kritische und ein als wichtig eingestuftes Bulletins zählen insgesamt 19 Löcher in Windows und eins Outlook Express auf.
Mit den Sicherheits-Updates für April behebt Microsoft eine ganze Reihe von Schwachstellen: drei kritische und ein als wichtig eingestuftes Bulletins zählen insgesamt 19 Löcher in Windows und eins Outlook Express auf. Microsoft empfiehlt dringend, die Updates einzuspielen und veröffentlicht diesmal sogar direkte Download-Adressen für die einzelnen Patches.
Das Security Bulletin MS04-011 ist ein Sammel-Advisory und beschreibt allein schon 14 Schwachstellen, die von LSASS und LDAP über das Hilfe-Center und den Win-Logon-Dienst bis hin zu SSL und den ASN.1-Parser reichen. Etwas konkretere Details enthüllt nur das englische Bulletin. Viele der Schwachstellen sind Buffer-Overflows und ermöglichen das Ausführen von Code übers Netz. Die Liste der Entdecker, bei denen sich Microsoft bedankt, liest sich wie ein Who-is-Who der Security-Branche: ISS, iDefense, eEye und Foundstone sind vertreten, aber auch die niederländische Firma LogicaCMG, weil sie bei Arbeiten für das holländische Finanzamt eine Schwachstelle im Task-Management von Windows XP entdeckt und gemeldet hat.
Etwas überschaubarer ist das Bulletin MS04-012, das insgesamt vier Schwachstellen in RPC/DCOM benennt. Bereits kurz nach der Lovsan/Blaster-Epedemie im letzten Jahr wurde bekannt, dass dieser Dienst weitere Löcher aufwies. Der Patch enthält auch die bisherigen RPC-Updates und ist ebenfalls als kritisch eingestuft.
Das dritte kritsche Update beschreibt das Bulletin MS04-013. Es beschäftigt sich mit einer Schwachstelle in der Art wie Outlook Express MHTML-URLs für Hilfedateien behandelt. Diese kann durch HTML-Mails ausgenutzt werden, um Code mit den Rechten des angemeldeten Benutzers auszuführen. Bisher ist nicht klar, ob der Patch auch das MHTML-Problem des Internet-Explorer beseitigt, das der c't-Browsercheck demonstriert und das diverse Web-Seiten aktiv ausnutzen, um Trojaner zu installieren.
Security Bulletin MS04-014 befasst sich mit einem Buffer Overflow in Microsofts Jet-Datenbankmodul. Obwohl es ebenfalls das Ausführen von fremdem Code übers Netz ermöglicht, stuft Microsoft die Bedeutung wegen der geringeren Verbreitung nur als hoch ein. Wer das Modul einsetzt, sollte trotzdem unbedingt den Patch installieren.
Update
Das in MS04-013 beschriebene Update für Outlook Express stopft auch die MHTML-Lücke im Internet Explorer. Warum Microsoft in seinem Bulletin nicht erwähnt, dass der kumulative Patch auch diesen Fehler beseitigt ist unklar. Schließlich beschreibt auch der verlinkte Eintrag in der Schwachstellendatenbank CVE nur den Internet Explorer. Attacken von Trojanern wie Ibiza und Bugbear.e laufen zukünftig bei gepatchen Browsern ins Leere.
Nebenbei hat Microsoft auch das zwei Jahre alte Bulletin MS02-011 aktualisiert und einen Patch für Windows NT bereit gestellt -- bislang gab es den Patch nur für Windows 2000 und Exchange Server 5.5. Auf verwundbaren Servern mit laufenden SMTP-Dienst lässt sich nämlich die Authentifizierung des Dienstes austricksen.
Siehe dazu auch: (ju)
- Microsofts deutsche Ăśbersicht zu den April-Updates
- Microsofts englische Ăśbersicht zu den April-Updates
- Weitere Details zu Microsofts Security Bulletins auf heise Security