SECURITY - Microsoft stopft 17 Sicherheitslücken

Anders als vom Redmonder Softwarekonzern bereits vergangenen Freitag angekündigt, veröffentlicht das Unternehmen am heutigen Patchday elf statt zwölf Security-Bulletins mitsamt Updates, die zahlreiche Lücken in den Betriebssystemen, in den Office-Paketen und weiterer Software schließen. Die Updates zu den Bulletins beseitigen zehn als kritisch und sieben mit der Risikostufe hoch eingestufte Schwachstellen.

Das kumulative Sicherheitsupdate zur Sicherheitsmeldung MS08-010 schließt gleich vier Sicherheitslücken im Internet Explorer 5, 6 und 7 unter allen unterstützten Betriebssystemen. Beim Darstellen von präparierten HTML-Seiten mit bestimmten, aber von Microsoft nicht erläuterten Layout-Kombinationen tritt in der Render-Engine ein Fehler auf, durch den sich Code einschleusen und ausführen lässt. Dasselbe kann beim Aufrufen der "Property"-Funktion durch Webseiten im IE passieren. Auch das ActiveX-Modul dxtmsft.dll reißt so eine Lücke auf, die auf eine fehlerhafte Überprüfung der übergebenen Daten zurückzuführen ist. Zudem setzt das Update Killbits für die ActiveX-Module Foxtlib.ocx und Fpole.ocx von Microsofts Fox Pro.

Im Security-Bulletin MS08-008 beschreibt der Hersteller eine unter Windows 2000, XP, Vista, Microsoft Office 2004 für Mac und Visual Basic 6 kritische Sicherheitslücke in der OLE-Automatisierung (Object Linking and Embedding), die Angreifer etwa mit manipulierten Webseiten zum Unterschieben von Schadcode missbrauchen können. Manipulierte Skripte können in der OLE-Automatisierung den Speicher durcheinander bringen und dabei Teile des Heaps überschreiben.

Auch die Office-Pakete enthalten Sicherheitslücken, die Microsoft mit Patches abdichtet. Das Update zu MS08-009 behebt einen Fehler in Word, der das Einschmuggeln fremden Programmcodes ermöglicht. Die Lücke stufen die Redmonder in Office 2000 als kritisch ein, in Office XP, 2003 sowie im Word Viewer 2003 noch als "hoch". Neuere Versionen ab einschließlich Office 2003 SP3 sowie Office 2004 und 2008 für Mac sind nicht betroffen. Der Fehlerbericht MS08-012 beschreibt zwei kritische Lecks in Microsofts Publisher, die ebenfalls in Version 2000 kritisch und in XP und 2003 SP2 noch mit der Risikostufe hoch versehen sind.

Eine weitere Schwachstelle (MS08-013) tritt bei Office-Dokumente mit manipulierten, eingebetteten Objekten zu Tage; Microsoft stuft sie in Office 2000 als kritisch, in Office XP, 2003 bis SP2 und Office 2004 für Mac als "hoch" ein. Aktuellere Versionen und die Viewer enthalten den Fehler hingegen nicht. Weiterhin kommen die Importfilter von Office 2003, Works 8 und der Works Suite 2005 für Works-Dateien (.wps) mit manipulierten Dateien nicht zurecht und können eingeschleusten Schadcode ausführen. Im Security-Bulletin MS08-011 schätzt Microsoft das Gefahrenpotenzial der drei Fehler in den Works-Versionen lediglich als hoch ein, in Office 2003 sogar nur als mittel.

Der im Betriebssystem integrierte WebDAV-Client WebDAV Mini Redirector kann beim Verarbeiten präparierter Antwortpakete aus dem Tritt geraten und in dessen Folge ein Puffer auf dem Heap überlaufen. Dabei kann eingeschleuster Schadcode zur Ausführung kommen. Das Update zum Security-Bulletin MS08-007 behebt den Fehler in Windows XP, Server 2003 und Vista; Windows 2000, Vista Service Pack 1 und Windows 2008 enthalten die Schwachstelle nicht.

Das Gefährdungspotenzial einer Schwachstelle beim Verarbeiten von präparierten DHCP-Antworten (MS08-004) in Windows Vista schätzt Microsoft nur als hoch ein, Die gefälschten Antwortpakete können zum Absturz und Neustart betroffener Systeme führen. Eingaben auf ASP-Webseiten verarbeitet der Internet Information Server (IIS) 5.1 und 6.0 unter Windows XP und Server 2003 unter Umständen fehlerhaft, wodurch Angreifer Zugriff mit den Rechten des IIS auf das System erhalten können (MS08-006). Lokale Anwender können der Sicherheitsmeldung MS08-005 zufolge ihre Rechte auf Systemen mit dem IIS ausweiten. Betroffen sind die Versionen IIS 5.0 unter Windows 2000 bis IIS 7 unter Windows Vista. Eine Schwachstelle im Verzeichnisdienst Active Directory ermöglicht Denial-of-Service-Angriffe auf betroffene Systeme (MS08-003). Unter Windows XP und Server 2003 sind dazu gültige Anmeldedaten nötig, unter Windows 2000 hingegen nicht.

Da die meisten der Sicherheitslücken das Einschleusen und Ausführen von fremden Code ermöglichen, sollten Anwender die Updates zügig einspielen. Sofern das automatische Update von Windows sie noch nicht heruntergeladen hat, können Anwender den Internet Explorer starten und aus dem Menü des Browsers heraus die Windows-Update-Seite ansurfen und so das Update manuell anstoßen.

Siehe dazu auch:

• Microsoft Security Bulletin Summary für Februar 2008, Zusammenfassung und Übersicht der Updates von Microsoft

Quelle: (Heise.de)