Microsoft

Es ist soweit - nach einem Jahr nun hat das Microsoft Security Response Center endlich auf die dauernden Anfragen der Kunden reagiert: Das Bewertungssystem der Security Bulletins zur Einstufung der potenziellen Gefahr neu entdeckter Sicherheitslücken hat man von Grund auf überarbeitet. Gleichzeitig trug man endlich der Erkenntnis Rechnung, dass sich Systeme nicht immer klar in Server- oder Clientsysteme unterscheiden lassen. Es gibt (immer noch) genügend Administratoren, die auf einem Server mit dem Internet Explorer surfen und diesen damit automatisch auch als Client nutzen. Dieses Beispiel sollte aber bitte keine Vorbildfunktion haben. Jedenfalls hat man sich in Washington dazu durchgerungen, diese Aufteilung aufzugeben und nur noch zwischen ‘Critical’, ‘Important’, ‘Moderate’ und ‘Low’ zu differenzieren. Microsoft empfiehlt, Patches der ersten beiden Kategorien auf jedem System zu installieren und bei den anderen nach individueller Prüfung zu entscheiden.

Kaum war dieses neue Bewertungssystem bekannt, folgte gleich die Veröffentlichung eines neuen ‘cumulative Patch’ für den Internet Explorer, der gleich neun Sicherheitslücken auf einen Streich beseitigt. Das zuletzt entdeckte Loch, das einem Angreifer erlaubte, beliebige Programme mittels einer speziellen Website auszuführen, ist damit aber nicht (ganz) vom Tisch. Laut Entdecker dieser Lücke wird durch den Patch nicht das Übel an der Wurzel angepackt, sondern nur eine der von ihm ausgenutzten Lücken geschlossen. Dummerweise gibt es noch weitere, die das Skizzierte ermöglichen - und so bleibt das Problem leider weiterhin bestehen. Nichtsdestotrotz sei die Installation dieses Patches allen Anwendern des Internet Explorer auf jeden Fall empfohlen (Q328970).

Wie iX in der Novemberausgabe berichtete, hat Microsoft mit dem Patch aus dem KnowledgeBase-Artikel Q328145 einen Fehler in der CryptoAPI beseitigt, der es erlaubte, einem Rechner gefälschte Zertifikate als gültig unterzuschieben. Dabei schoss man aber wohl etwas über das Ziel hinaus. Kurz nach der Veröffentlichung bemerkten die Redmonder, dass ein eigenes veröffentlichtes Zertifikat, das sie zur Signierung von Hardwaretreibern verwenden, den strengeren Anforderungen nicht genügte. Diese Peinlichkeit führte bei den Anwendern unter Umständen dazu, dass sich neue Hardware nur schwer oder gar nicht installieren ließ. Jetzt gibt es eine aktualisierte Version dieses Patches, die gleich nebenbei noch eine modifizierte Form der ursprünglichen Verwundbarkeit beseitigt (Q329115).

Loch in Microsoft Data Access Components (MDAC): XP-Anwender können diesen Absatz überspringen, da auf ihrem System die Version 2.7 als Teil des Betriebssystems installiert ist. Für alle anderen Versionen bis einschließlich Version 2.6 gibt es einen Patch, der eine neu entdeckte Lücke in den Remote Data Services (RDS) schließt. Die RDS beinhalten einige Funktionen, die in der Regel dreischichtige Datenbankanwendungen auf Webservern benötigen. Unglücklicherweise gibt es einen ungeprüften Puffer in dem Teil, der die ankommenden HTTP-Anfragen verarbeitet und in RDS-Kommandos umsetzt. Dadurch ist es möglich - auf Clientsystemen und auf Webservern - beliebigen Code im Kontext des Benutzers beziehungsweise des Webservers (LocalSystem) auszuführen. Betroffen sind neben Webservern mit aktivierten RDS besonders Win2k- und WinME-Systeme, da bei ihnen die MDAC als Teil des Betriebssystems installiert sind. Alle Anwender des Internet Explorer ab Version 5.01, der einige Bestandteile der MDAC enthält, und Administratoren von NT-4-Servern, auf denen das Option Pack installiert ist, sollten den Patch umgehend installieren (Q329414).

Neben den MDACs weist auch die Implementierung des Point-to-Point-Tunneling-Protocol (PPTP) in den Remote Access Services (RAS) einen ungeprüften Puffer auf. Das bei den Windows-VPN-Servern eingesetzte Protokoll enthält fehlerhaften Code in dem Teil, der die Kontrolldaten zur Steuerung der PPTP-Verbindung überträgt und verarbeitet. Ein Angreifer kann mit speziell geformten PPTP-Paketen den Kernelspeicher verändern und somit die Verbindungen unterbrechen oder das System zum Absturz bringen. Betroffen sind neben Servern entsprechende Arbeitsplatzrechner, auf denen die RAS aktiv sind, PPTP-Clients sind prinzipiell durch diese Lücke gefährdet. In diesem Fall aber erschweren die normalerweise ständig wechselnden IP-Adressen und die PPTP-Verbindung ein Ausnutzen. Betroffen sind alle Systeme ab Win98 mit installiertem PPTP, was bei Win2k und XP von Haus aus der Fall ist (Q329834).

Die Windows-Hilfe in ihrer neuen Form preist Microsoft als Allheilmittel zur strukturierten Veröffentlichung von Informationen. Neben der Darstellung von HTML-Dokumenten ermöglicht das für die Verarbeitung von solchen ‘compiled HTML help’-Dateien zuständige ActiveX-Control die Verwendung so genannter Shortcuts. Damit kann der Anwender aus der Hilfedatei heraus direkt die entsprechenden Programme ausführen oder Einstellungsdialoge aufrufen. Als wären nun die geschilderten Lücken nicht genug, gibt es in diesem Control einen ungeprüften Puffer. Ein Angreifer, der diese Lücke durch eine speziell präparierte Webseite oder HTML-Mail ausnutzt, kann beliebigen Code im Sicherheitskontext des angemeldeten Benutzers ausführen. Daneben erlauben weitere Fehler in der Behandlung von solchen Hilfedateien das Ausführen von Programmen. Betroffen sind alle Windows-Versionen ab Win98 (Q323255).

Näheres zu den einzelnen Sicherheitsproblemen sowie die angegebenen KnowledgeBase-Artikel gibt es online. (wm)