Microsoft
- Christian Segor
Es gibt schon wieder einen ‘cumulative patch’: am 4. Dezember veröffentlichte Microsoft selbigen für den Internet Explorer. Eine IE-Installation ohne diesen Flicken weist ein gravierendes Sicherheitsloch auf, das einem Angreifer erlaubt, beliebige Programme auf dem betroffenen Rechner auszuführen; im Zweifelsfall reicht dafür aus, dass ein argloser Benutzer eine entsprechend präparierte Webseite öffnet. Dieser Gefahr war man sich in Redmond zunächst allerdings nicht bewusst, sodass der Sammelflicken zunächst die Einstufung ‘moderate’ erhielt.
Zwei Tage später stellten die Redmonder fest, dass der bereits veröffentlichte Patch auch diese Sicherheitslücke schließt. Man beeilte sich, das entsprechende Security Bulletin zu aktualisieren. Am Patch selbst hat Microsoft keine Änderungen vorgenommen, aber die Einstufung lautet seitdem ‘critical’. Wie immer enthält das Update alle zuvor veröffentlichten Flicken und sei deshalb jedem IE-Benutzer dringend empfohlen (324929).
Kürzlich wurde ein Fehler in Outlook 2002 bekannt, dessen Auswirkungen geeignet sind, das Nervenkostüm des betroffenen Benutzers gehörig zu strapazieren: falls der Header einer Nachricht auf bestimmte Weise manipuliert ist, stürzt der E-Mail-Client während des Herunterladens des Mailbox-Inhalts ab. Und zwar immer wieder, bis die entsprechende Nachricht auf dem Server gelöscht wurde. Um eine solche E-Mail aber zu löschen, muss der Benutzer entweder einen anderen Client installieren (etwa Outlook Express) oder den Administrator des Servers bitten, die kompromittierte Nachricht zu entfernen.
Outlook 2000 stürzt nur ab, wenn der Anwender mittels POP3 oder IMAP4 auf seine Mailbox zugreift. Verbindungen zwischen Outlook 2002 und einem Exchange-Server mittels MAPI sind nicht betroffen, ebenso wenig wie alle anderen Outlook-Versionen. Der Patch behebt neben dem beschriebenen Problem eine Reihe weiterer kleinerer Fehler und setzt den Service-Pack 2 für Office XP voraus (331866).
Die Redmonder Version der Java Virtual Machine weist ebenfalls eine ganze Reihe neu entdeckter Fehler auf, die es einem Angreifer im schlimmsten Fall erlauben, beliebigen Code in Form von COM-Objekten auf dem betroffenen Rechner auszuführen. Um das zu verhindern, stellt Microsoft eine neue Version der VM zur Verfügung; allerdings ist ein Download nur über den Windows-Update-Dienst zu erreichen. Der einfachste Weg zum Sicherheitspatch führt über die Suche nach der entsprechenden KnowledgeBase-Artikelnummer unter windowsupdate.microsoft.com/catalog (810030).
Ein Sicherheitsloch in der Windows API, genauer gesagt in der Implementierung der Systemnachricht WM_TIMER, ermöglicht es Benutzern mit Programmierkenntnissen (oder jenen, die ein passendes Exploit-Tool installieren), eigene Prozesse im Sicherheitskontext des lokalen Systems zu starten. Voraussetzung ist, dass ein Angreifer sich zuvor lokal angemeldet hat; über das Netz ist die Sicherheitslücke nicht nutzbar. Der von Microsoft zur Verfügung gestellte Flicken ist deshalb wohl vor allem für Terminal-Server-Installationen interessant (328310).
WinXP (wie auch andere Windows-Systeme) verwendet so genannte erweiterte Dateiattribute, um Meta-Informationen wie den Autor eines Dokuments oder das Erstellungsdatum zu verwalten. Angezeigt werden diese Informationen normalerweise, wenn der Benutzer mit dem Mauscursor auf ein entsprechendes Datei-Icon zeigt - ein Klick ist nicht notwendig. An sich eine feine Sache, nur ist die XP-Shell an dieser Stelle leider etwas schlampig programmiert. Die Funktion, die jene Meta-Informationen für MP3-Dateien ausliest, beinhaltet einen Speicherpuffer, der gegen Überlauf nicht ausreichend gesichert ist. Es ist also möglich, beliebigen Code in das passende Dateiattribut einer MP3-Datei zu schreiben und diese Datei einem Benutzer unterzuschieben, der alleine durch das Verschieben der Maus den Code unbeabsichtigt (und im eigenen Sicherheitskontext) ausführt. Microsoft stellt den passenden Patch auf den üblichen Download-Seiten zur Verfügung (329390).
Näheres zu den einzelnen Sicherheitsproblemen sowie die angegebenen KnowledgeBase-Artikel gibt es online. (wm)
