Microsoft-Patchday: Acht kritische Lücken gestopft

An Microsofts Juni-Patchday geht es richtig rund: Neben acht kritischen Updates zu Windows und MS-Office liefert Microsoft auch drei wichtige Software-Patches und behebt ein mittelschwer bewertetes Problem. Wie angekündigt schließen die Redmonder die bekannte und bereits aktiv ausgenutzte Lücke in MS-Word (MS06-027). Durch speziell präparierte Word-Dokumente kann ein Angreifer die Speicherverwaltung so durcheinanderbringen, dass dabei eingeschleuster Code ausgeführt wird. Laut MS06-028 können auch Powerpoint-Präsentationen Code einschleusen, den das System dann mit den Rechten des angemeldeten Benutzers ausführt. Diese Lücke wird allerdings offenbar bisher noch nicht ausgenutzt, sondern wurde von der European Aeronautic Defence and Space Company (EADS) und Symantec bei Microsoft gemeldet.

Auch den Internet Explorer hat es wieder erwischt: Allein vier kritische Probleme, über die Web-Seiten fremden Code einschleusen und ausführen könnten, behebt das kumulative Update in MS06-21; der JScript-Interpreter enthält ein weiteres (MS06-23). Nebenbei beseitigt Microsoft vier weitere, als nicht so schwerwiegend eingestufte IE-Probleme.

Als kritisch sind auch drei Fehler bei der Darstellung diverser Grafikformate eingestuft: In einer unter anderem vom Internet Explorer genutzten Bibliothek zum Anzeigen von AOLs Grafik-Format ART (MS06-022) und im Media Player bei der Anzeige von PNG-Dateien (MS06-024) treten unter Umständen Pufferüberläufe mit den bekannt schwerwiegenden Folgen auf. Und einmal mehr erweist sich die Behandlung von WMF-Dateien durch die Windows Grafik-Rendering-Komponente als potenzielles Einfallstor für Schadsoftware (MS06-026). Ob es sich dabei wie Anfang des Jahres bei den Fehlerbehandlungsroutinen wieder um eine Leiche im Sicherheitskeller oder einen eher klassischen Programmierfehler handelt, verrät Microsoft in seiner sehr allgemeinen Fehlerbeschreibung allerdings nicht ("the way that the Graphics Rendering Engine handles specially crafted WMF images [..] could allow arbitrary code to be executed").

Nur auf Windows-2000-Systemen stuft Microsoft zwei Fehler im Dienst Routing and Remote Access (RRAS) als kritsich ein, weil sich ein Pufferüberlauf hier direkt übers Netz auslösen lässt; bei Windows XP Service Pack 2 und Windows Server 2003 erfordert ein Angriff eine gültige Zugangskennung (MS06-025).

Nach all den kritischen Updates gibt es auch einige nur als wichtig eingestufte Patches: Im TCP/IP-Stack kann das standardmäßig deaktivierte IP-Source-Routing einen Pufferüberlauf auslösen (MS06-032). Über spezielle SMB-Pakete könnte ein Angreifer, der sich am System anmelden kann, seine Rechte erhöhen (MS06-030). Spezielle E-Mails können Script-Code mit den Rechten des Anwender ausführen, wenn dieser sie mit dem Exchange-Dienst Outlook Web Access (OWA) öffnet (MS06-029). Und schließlich warnt die als mittelwichtig gekennzeichnete Sicherheitsnotiz MS06-031 davor, dass ein Angreifer einer RPC-Client-Applikation trotz gegenseitiger SSL-Authentifizierung einen gefälschten RPC-Server unterschieben könnte.

Angesichts der Tragweite der behobenen Fehler sollten die Updates schnellstmöglich eingespielt werden. Andererseits bedeutet natürlich gerade das Zusammenfassen von allein acht Updates zu einem IE-Patch auch ein erhöhtes Risiko, dass Unverträglichkeiten auftauchen. So kommt wohl auf Admins, die die Patches vor der Freigabe zunächst austesten müssen, einiges an Arbeit zu. heise Security wird in den nächsten Tagen nach ersten Tests weitere Details zu den einzelnen Lücken und den zugehörigen Patches veröffentlichen.

Siehe dazu auch: (ju)

• Microsoft Security Bulletin Summary for June, 2006, Microsofts Zusammenfassung mit Hinweisen und Links zu den einzelnen Updates auf Englisch
• Microsoft Security Bulletin Summary für Juni 2006, Microsofts Zusammenfassung auf Deutsch