September-Patchday: Microsoft schließt vier Sicherheitsbaustellen
Die Redmonder haben kritische Lücken im Media Player, Media Encoder, in diversen MS-Office-Paketen sowie im Windows-System selbst geschlossen, die sich zum Einschleusen von beliebigem Schadcode übers Netz eignen.
- Christiane Rütten
Am heutigen September-Patchday hat Microsoft wie angekündigt vier Patch-Pakete herausgegeben. Diese schließen kritische Schwachstellen im Media Player, Media Encoder, in Microsoft Office sowie der Windows-Systemkomponenten zur Grafikdarstellung GDI+. Die Details beschreibt der Softwarekonzern in den vier technischen Bulletins MS08-052 bis MS08-055. Demnach lassen sich alle beschriebenen Schwachstellen zum Einschmuggeln von Schadcode aus der Ferne nutzen. Allerdings muss dazu ein Angreifer den Anwender dazu bringen, manipulierte Dateien oder Webseiten zu öffnen.
Die GDI+-Probleme (MS08-052) betreffen alle aktuellen Windows-Versionen seit Windows XP und können bei der Verarbeitung von Dateien in den Formaten VML, EMF, GIF, WMF und BMP auftreten. Die fehlerhafte Version der Bibliothek gdiplus.dll liegt auch diversen Office-Pakete sowie dem Report Viewer und SQL Server 2005 von Microsoft bei. Die Redmonder weisen zwar darauf hin, dass Internet Explorer selbst nur als IE6 unter Windows 2000 SP4 anfällig ist – Internet-Explorer-Anwender sind aber durchaus gefährdet. So könnten Web-Seiten speziell präparierte Dateien ausliefern, die beim Öffnen eine der Sicherheitslücken ausnutzen.
Der Windows Media Encoder 9 installiert ein verwundbares ActiveX-Control namens WMEX.DLL (MS08-053), sodass sich diese Sicherheitslücke ebenfalls über den Internet Explorer ausnutzen lässt, wenn der Nutzer präparierte Webseiten ansteuert. Als möglichen Workaround beschreibt Microsoft das setzen des Killbits für das Control, welches die CLSID A8D3AD02-7508-4004-B2E9-AD33F087F43C trägt.
Die Lücke im Windows Media Player betrifft nur die aktuelle Version 11 des Programms (MS08-054). Der Programmierfehler kann beim Visualisieren von Audiodaten mit ungewöhnlichen Sampling-Frequenzen auftreten. Als Workaround beschreibt das Advisory das Abmelden der verwundbaren DLL mit dem Kommandozeilenbefehl Regsvr32.exe -u %WINDIR%\system32\wmpeffects.dll (beziehungsweise syswow64 statt system32 auf 64-Bit-Systemen).
Microsoft Office XP, 2003 und 2007 sowie in OneNote 2007 mit und ohne SP1 enthalten eine Schwachstelle im sogenannten OneNote-Handler (MS08-055), der sich um die Verarbeitung von URLS im Format onenote:// kümmert. Bei OneNote handelt es sich um eine Notizbuchfunktion, die auch die Microsoft Office-Pakete anbieten. Im Rahmen der alleinstehenden OneNote-Anwendung bewerten die Redmonder die Lücke als kritisch, als Teil der Office-Pakete bekommt sie lediglich die Einstufung "wichtig".
Für alle Patch-Pakete lautet die Empfehlung von Microsoft: "umgehend einspielen". Dies übernehmen wie gewohnt die Update-Mechanismen von Windows und Microsoft Office. Anwender und Admins sollten nicht länger als nötig damit zögern.
Siehe dazu auch:
- Microsoft Security Bulletin Summary für September 2008, Zusammenfassung von Microsoft
- MS08-052 Vulnerabilities in GDI+ Could Allow Remote Code Execution, Advisory von Microsoft
- MS08-053 Vulnerability in Windows Media Encoder 9 Could Allow Remote Code Execution, Advisory von Microsoft
- MS08-054 Vulnerability in Windows Media Player Could Allow Remote Code Execution, Advisory von Microsoft
- MS08-055 Vulnerability in Microsoft Office Could Allow Remote Code Execution, Advisory von Microsoft
(cr)
