Sieben Updates zum Microsoft-Patchday

Microsoft veröffentlicht am Juli-Patchday wie angekündigt insgesamt sieben Updates. Drei Updates mit maximaler Einstufung "Kritisch" betreffen Microsoft Office und je eines die Windows-Netzwerkdienste und den Windows-DHCP-Client. Außerdem gibt es zwei Updates mit der Einstufung "Wichtig" für die Internet Information Services (IIS) und das .NET-Framework 2.0.

Im Einzelnen beheben die Office-Updates Schwachstellen bei der Anzeige von GIF- und PNG-Grafiken (MS06-039), drei Verwundbarkeiten beim Parsen von Office-Dokumenten (MS06-038) sowie insgesamt acht Lücken in Excel (MS06-037). Alle behobenen Office-Lücken soll ein Angreifer zum Einschleusen von beliebigem Schadcode mit Hilfe manipulierter Grafikdateien beziehungsweise Office-Dokumente nutzen können. Die Lücken betreffen nicht nur die Office-Versionen 2003, XP und 2000 sowie 2004 und v. X für Mac, sondern auch MS Project, MS Visio und MS Works, sofern sie verwundbare Office-Komponenten enthalten. Unter Office 2000 beziehungsweise Excel 2000 bekommen die Programmierfehler die Einstufung "Kritisch", die Updates für andere Versionen sind lediglich als "Wichtig" gekennzeichnet.

Als durchweg kritisch stuft Microsoft hingegen die Lücke im DHCP-Client von Windows Server 2003, XP und 2000 ein (MS06-036). Ein Angreifer kann unter Umständen mit Hilfe manipulierter DHCP-Antworten die vollständige Kontrolle über ungepatchte Windows-Systeme übernehmen, sofern diese DHCP zur automatisierten Netzwerkkonfiguration verwenden.

Die Verwundbarkeiten in den Netzwerkdiensten MailSlot und SMB (MS06-35) betreffen ebenfalls alle aktuellen Windows-Versionen. Über die MailSlot-Lücke, die Microsoft als "Kritisch" einstuft, könnte ein Angreifer im LAN die vollständige Kontrolle über anfällige System übernehmen. MailSlot ist ein Mechanismus, der unter Windows der Kommunikation zwischen Prozessen sowohl lokal als auch übers Netzwerk dient. Prominenteste MailSlot-Anwendung dürfte der Windows-Message-Dienst sein. Die SMB-Lücke ist lediglich mit der Priorität "Niedrig" eingestuft. Durch sie könnte ein Angreifer unter Umständen übers Netz Kenntnis von dem Inhalt bereits versendeter Windows-Netzwerkpakete erlangen.

Durch eine Lücke in den Versionen 5.0, 5.1 und 6.0 der Internet Information Services (IIS) kann ein Angreifern unter Umständen übers Netz beliebigen Schadcode einschleusen und die vollständige Kontrolle über verwundbare IIS-Server übernehmen (MS06-034). Voraussetzung dafür ist allerdings, dass entweder der Angreifer über gültige IIS-Zugangsdaten verfügt, oder der Server anonymen Upload von Web-Inhalten zulässt.

Das ebenfalls insbesondere für Windows-Server relevante Update für .NET 2.0 (MS06-033) hat die Einstufung "Wichtig" erhalten. Durch eine Schwachstelle in dem Framework kann ein Angreifer die Sicherheitsmechanismen von ASP.NET umgehen und sich direkten Zugriff auf Objekte im Applications-Ordner verschaffen. Möglicherweise kann er so Informationen erlangen, die weitere Angriffsmöglichkeiten eröffnen.

Die schwerwiegenden Lücken in den Windows-Netzwerkdiensten legen ein zügiges Einspielen der Updates nahe. Auch Office-Anwender sollten ihre Software umgehend auf den neuesten Stand bringen. Microsoft empfiehlt Benutzern ungepatchter Office-Programme ausdrücklich, keine Office-Dokumente aus unbekannten Quellen zu öffnen.

Die von HD Moore im Rahmen des Month of Browser Bugs veröffentlichten und laut Moore bereits im März an Microsoft berichteten Lücken im Internet Explorer fanden an diesem Patchday noch keine Berücksichtigung. Die am Montag gemeldete Lücke in Microsoft Word lässt sich laut Microsofts Security Response Center Blog nicht zum Einschleusen von Schadcode ausnutzen, sondern bringt das Programm nur zum Absturz.

Siehe dazu auch: (cr)

• Microsoft Security Bulletin Summary for July, 2006, Microsofts Zusammenfassung mit Hinweisen und Links zu den einzelnen Updates auf Englisch
• Microsoft Security Bulletin Summary für Juli 2006, Microsofts Zusammenfassung auf Deutsch