Microsofts monatlicher Patch-Day wieder im Wochenrhythmus?
Die ASN.1-Library von Windows NT 4.0 in der Workstation- und Server-Ausführung, in Windows 2000, XP und Server 2003 weist ein Sicherheitsloch auf, worüber Angreifer Programmcode mit Systemrechten auf einem fremden Rechner ausführen können. Ferner lassen sich darüber Programme installieren, Daten einsehen, ändern oder löschen sowie neue Benutzerkonten mit Administratorrechten anlegen. Die ASN.1-Library wird von zahlreichen Verschlüsselungs- und Sicherheitsprotokollen verwendet, wie etwa Kerberos, der NTLMv2 Authentifikation, SSL, digital signierten E-Mails oder auch von signierten ActiveX-Controls. Angreifer können über die entsprechenden Protokolle fremde Rechner angreifen und weitestgehend unter ihre Kontrolle bringen. Zur Ausnutzung des Sicherheitslochs benötigt ein Angreifer direkten Zugriff auf das Netzwerk eines möglichen Opfers. Entsprechende Patches für Windows NT 4.0 in der Workstation- und Server-Version, für Windows 2000, XP und Server 2003 stehen ab sofort zum Download(öffnet im neuen Fenster) bereit. Microsoft wurde bereits Mitte Juli 2003 über dieses Sicherheitsloch von den Experten von eEye informiert(öffnet im neuen Fenster) , brauchte aber mehr als sechs Monate zur Bereitstellung entsprechender Patches.
Eine weitere Sicherheitslücke befindet sich ausschließlich in den Server-Varianten von Windows und erlaubt einem Angreifer, unter Windows Server 2003 eine DoS-Attacke auszuführen. Das Sicherheitsleck steckt im WINS-Dienst (Windows Internet Naming Service) und der Methode, besonders gestaltete Pakete zu überprüfen, wobei entsprechend formatierte Pakete den WINS-Server zum Stillstand bringen können, so dass der Dienst manuell neu gestartet werden muss. Perfiderweise ist eine Sicherheitsfunktion in Windows Server 2003 für dieses Verhalten verantwortlich, welches Versuche zur Ausnutzung eines stack-basierten Pufferüberlaufs erschweren soll. Allerdings kann diese Sicherheitsfunktion dazu gebracht werden, den entsprechenden Dienst zu beenden. Microsoft schließt nicht aus, dass in Zukunft Möglichkeiten bekannt werden, diese Sicherheitsfunktion dazu zu missbrauchen, Programmcode auf einem entsprechenden Server auszuführen und rät daher dringend zur Installation des bereitgestellten Patches(öffnet im neuen Fenster) .
Unter Windows-NT- und 2000-Server weist WINS entsprechend gestaltete Pakete zurück, so dass es zu keiner DoS-Attacke kommt. Auch eine mögliche Programmausführung ist nach Microsofts Auskunft ausgeschlossen, weshalb die Gefahr als gering bewertet wird. Dennoch stellt Redmond auch für die Server-Versionen von Windows NT und 2000 passende Patches zum Download(öffnet im neuen Fenster) bereit. Zeitgleich mit diesen Patches stellte Microsoft auch einen Patch für Virtual PC für MacOS bereit und veröffentlichte die Informationen zu den drei Sicherheitslöchern im Internet Explorer aus der vergangenen Woche erneut.
Gemäß der neuen Sicherheitsstrategie vom Oktober 2003 wollte Microsoft eigentlich die Verwirrung um Patches für Produkte aus Redmond entwirren und hatte angekündigt, Patches nur noch einmal im Monat zu veröffentlichen. Zumindest der aktuelle Monat lässt aber jede Art von Übersicht vermissen: So hat Microsoft den monatlichen Patch-Day mit einem entsprechenden Security Bulletin in der vergangenen Woche überraschenderweise um rund sieben Tage vorverlegt, um dieses Bulletin nun erneut zu veröffentlichen, ohne allerdings die entsprechenden Info-Mails zu aktualisieren. Denn in den E-Mail-Benachrichtigungen tragen beide "Security Bulletin Summaries for February 2004" die Versionsnummer 1.0, so dass man die vorgenommenen Änderungen an den Bulletins leicht übersieht. Erst bei Aufruf der entsprechenden Webseite informiert Microsoft darüber, dass es sich bereits um die Version 2.0 des Security Bulletin handelt, was derzeit allerdings nur für die englischsprachige Ausführung gilt; das deutschsprachige Dokument trägt noch die Versionsnummer 1.3.