Patchday: 19 Sicherheitslücken in Microsoft-Produkten
In Windows 2000, XP, Vista, Windows Server 2003 sowie 2008 wurden zwei Sicherheitslöcher entdeckt, die zum Ausführen von Schadcode genutzt werden können. Die Fehler betreffen die Wiedergabe von Windows-Media-Dateien und über präparierte Avi-Dateien ist ein entsprechender Angriff möglich. Mit einem Patch(öffnet im neuen Fenster) sollen die Fehler der Vergangenheit angehören.
Gleich fünf als gefährlich eingestufte Sicherheitslücken befinden sich in der Windows-Komponente Active Template Library (ATL). Wird ein Opfer zum Öffnen einer speziell gestalteten Webseite verleitet, können Angreifer das betreffende System vollständig unter ihre Kontrolle bringen. Ein Patch(öffnet im neuen Fenster) zur Abhilfe steht für Windows 2000, XP, Vista und Windows Server 2003 sowie 2008 als Download bereit.
In Telnet von Windows befindet sich ein Sicherheitsleck, das zum Ausführen beliebigen Programmcodes verwendet werden kann. Ein Opfer muss dazu gebracht werden, auf einen entsprechend präparierten Telnet-Server zuzugreifen. Das Sicherheitsloch betrifft Windows 2000, XP, Vista, Windows Server 2003 und 2008 und kann mit einem bereitgestellten Patch(öffnet im neuen Fenster) beseitigt werden.
In der Remote Desktop Connection von Windows wurden zwei Sicherheitslücken gefunden, die auch die Mac-Software Remotedesktopverbindungs-Client für Mac betreffen. Beide Fehler können zur missbräuchlichen Ausführung von Programmcode führen. Das eine Sicherheitsloch lässt sich ausnutzen, indem ein Opfer sich bei einem manipulierten RDP-Server anmeldet, während bei dem anderen Fehler bereits der Besuch einer präparierten Webseite genügt. Microsoft hat Patches(öffnet im neuen Fenster) für den Remotedesktopverbindungs-Client for Mac 2.0, für Windows 2000, XP, Vista, Windows Server 2003 und 2008 veröffentlicht.
Ein Fehler in Windows XP, Vista, Windows Server 2003 sowie 2008 kann über fehlerhafte RPC-Nachrichten zur vollständigen Kontrolle über ein fremdes System genutzt werden. Dazu muss ein Angreifer allerdings am System angemeldet sein. Für Windows XP und Windows Server 2003 sieht Microsoft eine höhere Gefährdung als für die anderen betroffenen Systeme. Ein Patch(öffnet im neuen Fenster) zur Beseitigung der Sicherheitslücke steht zur Verfügung.
Zwei weitere Windows-Sicherheitslücken betreffen nur Windows 2000 Server und Windows Server 2003. Durch Fehler im Windows Internet Name Service (WINS) kann schadhafter Programmcode unbefugt auf anderen Systemen ausgeführt werden. Dazu müssen Angreifer entsprechend bearbeitete Datenpakete an ein WINS-System schicken. Mit einem Patch(öffnet im neuen Fenster) werden die beiden Fehler korrigiert.
Die Windows-Komponente Message Queuing prüft Daten nicht korrekt, so dass Angreifer über manipulierte IOCTL-Anforderungen beliebigen Programmcode ausführen und so ein fremdes System unter ihre Kontrolle bringen können. Der Fehler betrifft Windows 2000, XP mit Service Pack 2, Vista ohne Service Pack sowie Windows Server 2003 mit Service Pack 2 und wird mit einem Patch(öffnet im neuen Fenster) korrigiert. Windows XP mit Service Pack 3 sowie Windows Vista mit Service Pack 1 oder 2 sind von dem Problem nicht betroffen.
In ASP.Net steckt ein Sicherheitsleck, das für Denial-of-Service-Attacken missbraucht werden kann. Dazu müssen die Internet Information Services (IIS) 7.0 installiert und ASP.Net im integrierten Modus verwendet werden. Dann ist ein Angriff über manipulierte HTTP-Anforderungen möglich, so dass der Webserver erst wieder reagiert, wenn der Anwendungspool neu gestartet wird. Wird IIS 7.0 im klassischen Modus verwendet, macht sich das Sicherheitsleck nicht bemerkbar. Ein Patch(öffnet im neuen Fenster) steht für Windows Vista und Windows Server 2008 als Download zur Verfügung. Systeme mit dem Service Pack 2 von Windows Vista und Windows Server 2008 sind von dem Fehler nicht mehr betroffen.
Die aufgeführten Windows-Sicherheitslücken machen sich in Windows 7 sowie in Windows Server 2008 R2 nicht bemerkbar, verspricht Microsoft.
Am Patchday korrigiert Microsoft neben den vielen Sicherheitslücken in Windows auch vier Fehler in Office Web Components, über die Angreifer die vollständige Kontrolle über ein fremdes System erlangen können. Opfer müssen lediglich dazu gebracht werden, eine manipulierte Webseite aufzurufen. Die Sicherheitslücken befinden sich außer in den Office Web Components auch in Office XP, 2003, im ISA-Server 2004 und 2006, im Biztalk-Server 2002, in Visual Studio .Net 2003 sowie Office Small Business Accounting 2006. Entsprechende Patches(öffnet im neuen Fenster) stehen als Download zur Verfügung.
Alle Patches für die aufgeführten Microsoft-Produkte stehen über das jeweilige Security Bulletin sowie über Windows Update als Download zur Verfügung.