Groß-Patch-Tag bei Microsoft Office
Allein vier der sechs kritischen Updates an Microsofts August-Patchday befassen sich mit Office-Produkten: Access, Excel, Powerpoint und die Office-Filter. Doch auch Windows und der Internet Explorer bekommen einen Patch der höchsten Kategorie. Die bekannte Lücke in Word wird mit einem als wichtig eingestuften Patch behoben.
Über einen Monat hat es gedauert, bis Microsoft der Warnung vor gezielten Attacken, die eine Sicherheitslücke in einem ActiveX-Control zur Darstellung von Access-Datenbank-Snapshots ausnutzen, einen passenden Patch folgen ließ (MS08-041). Ähnliches gilt auch für die einen Tag später gemeldetete Lücke in Word. Doch das in MS08-042 beschriebene Update stuft Microsoft lediglich als wichtig ein, obwohl es ebenfalls das Einschleusen von Code beim Öffnen speziell präparierter Dateien ermöglicht. Warum das so ist, bleibt ein Geheimnis, im Abschnitt zu den "milderndenen Umständen" (Mitigating Factors) findet sich jedenfalls keine Erklärung für die Ungleichbehandlung.
Dafür haben es die Excel-Lücken in MS08-043 wieder in die höchste Kategorie geschafft. Immerhin drei der insgesamt vier Sicherheitsprobleme der Tabellenkalkulation sind zumindest bei Office 2000 als kritisch eingestuft. Das kann das Filter Bulletin MS08-044 noch toppen: Alle fünf Lücken in den Filtern für EPS-, PICT-, BMP- und WPG-Dateien sind kritisch.
Weiter geht der Office-Reigen mit drei Lücken in Powerpoint, von denen jedoch nur eine als kritisch eingestuft ist (MS08-051). Die im Wortlaut gleichen Einschränkungen für das Ausnutzen der Remote-Code-Execution-Lücken lassen schon fast den Verdacht aufkommen, dass ähnliche Lücken nur aus Prinzip niedriger eingestuft werden, wenn sie in neueren Produktversionen auftreten.
Gut zu tun hatte auch das Internet-Explorer-Team. Sechs Lücken bespricht MS08-045 – alle kritisch bis einschließlich Internet Explorer 7. Auffällig ist, dass allein fünf davon Probleme in der Speicherverwaltung beschreiben; die sechste betrifft die Druckvorschau des IE. Anders als bei den Office-Problemen werden die IE-Lücken jedoch laut Microsoft bislang noch nicht für Angriffe genutzt.
MS08-046 behandelt eine kritische Lücke im Windows Farbmanagement (Windows Image Color Management System), über die sich mit speziellen Bildern Code einschleusen und ausführen lässt. Vista und Server 2008 sind jedoch offenbar immun dagegen.
Auch die zwei Lücken in der Event-Behandlung erlauben das Einschleusen von Code (MS08-049). Allerdings muss dazu der Angreifer bereits am System angemeldet sein, benötigt also Username und Passwort. Die verbleibenden drei wichtigen Updates behandeln mögliche Preisgabe von Informationen durch Outlook Express/Windows Mail (MS08-48), Windows Messenger (MS08-50) und das Protokoll IPSec (MS08-047).
Über einen Monat hat es gedauert, bis Microsoft der Warnung vor gezielten Attacken, die eine Sicherheitslücke in einem ActiveX-Control zur Darstellung von Access-Datenbank-Snapshots ausnutzen, einen passenden Patch folgen ließ (MS08-041). Ähnliches gilt auch für die einen Tag später gemeldetete Lücke in Word. Doch das in MS08-042 beschriebene Update stuft Microsoft lediglich als wichtig ein, obwohl es ebenfalls das Einschleusen von Code beim Öffnen speziell präparierter Dateien ermöglicht. Warum das so ist, bleibt ein Geheimnis, im Abschnitt zu den "milderndenen Umständen" (Mitigating Factors) findet sich jedenfalls keine Erklärung für die Ungleichbehandlung.
Dafür haben es die Excel-Lücken in MS08-043 wieder in die höchste Kategorie geschafft. Immerhin drei der insgesamt vier Sicherheitsprobleme der Tabellenkalkulation sind zumindest bei Office 2000 als kritisch eingestuft. Das kann das Filter Bulletin MS08-044 noch toppen: Alle fünf Lücken in den Filtern für EPS-, PICT-, BMP- und WPG-Dateien sind kritisch.
Weiter geht der Office-Reigen mit drei Lücken in Powerpoint, von denen jedoch nur eine als kritisch eingestuft ist (MS08-051). Die im Wortlaut gleichen Einschränkungen für das Ausnutzen der Remote-Code-Execution-Lücken lassen schon fast den Verdacht aufkommen, dass ähnliche Lücken nur aus Prinzip niedriger eingestuft werden, wenn sie in neueren Produktversionen auftreten.
Gut zu tun hatte auch das Internet-Explorer-Team. Sechs Lücken bespricht MS08-045 – alle kritisch bis einschließlich Internet Explorer 7. Auffällig ist, dass allein fünf davon Probleme in der Speicherverwaltung beschreiben; die sechste betrifft die Druckvorschau des IE. Anders als bei den Office-Problemen werden die IE-Lücken jedoch laut Microsoft bislang noch nicht für Angriffe genutzt.
MS08-046 behandelt eine kritische Lücke im Windows Farbmanagement (Windows Image Color Management System), über die sich mit speziellen Bildern Code einschleusen und ausführen lässt. Vista und Server 2008 sind jedoch offenbar immun dagegen.
Auch die zwei Lücken in der Event-Behandlung erlauben das Einschleusen von Code (MS08-049). Allerdings muss dazu der Angreifer bereits am System angemeldet sein, benötigt also Username und Passwort. Die verbleibenden drei wichtigen Updates behandeln mögliche Preisgabe von Informationen durch Outlook Express/Windows Mail (MS08-48), Windows Messenger (MS08-50) und das Protokoll IPSec (MS08-047).
Das noch am Freitag angekündigte kritische Update für den Mediaplayer hat Microsoft offenbar verschoben. Hintergründe zu solch kurzfristig getroffenen Entscheidungen veröffentlichen die Redmonder normalerweise nicht. Insbesondere die Patches für die bereits aktiv ausgenutzten Office-Lücken aber auch die des Internet Explorer, für die vermutlich bald Exploits erscheinen dürften, sollten möglichst zügig eingespielt werden.(Quelle:Heise.de)
Siehe dazu auch:
- Security Bulletin Summary for August 2008, Microsofts Zusammenfassung in Englisch
- Security Bulletin Zusammenfassung für August 2008, Microsofts Zusammenfassung in Deutsch
Eingestellt von megablaster Am/um
8/13/2008 10:17:00 AM
0 Kommentare:
Kommentar veröffentlichen
Abonnieren Kommentare zum Post [Atom]
<< Startseite