Microsoft

Outlook Express erfreut sich nach wie vor großer Beliebtheit, was ja nicht ganz unverständlich ist: Kommt man an einen Windows-Rechner, ist Outlook Express meist schon da. Die Software bietet für den durchschnittlichen Privatanwender ausreichende Funktionen und ist komfortabel zu bedienen. Umso schlimmer, dass Outlook Express immer wieder gravierende Sicherheitslücken aufweist.

Microsoft hat jetzt einen neuen Hotfix veröffentlicht, der ein Sicherheitsproblem beim Verarbeiten von so genannten MHTML-URLs beheben soll. MHTML ist ein Format, in dem komplette Webseiten einschließlich aller Nicht-HTML-Elemente wie Grafiken oder Sounds in einer einzelnen Datei gespeichert werden können; binäre Daten sind dabei MIME-kodiert. Schiebt ein Bösewicht Outlook Express eine entsprechend präparierte URL in einer solchen MHTML-Datei unter, kann er unter Umständen beliebigen Code im IE-Sicherheitskontext „Lokale Maschine“ ausführen, auch wenn die URL von einer nicht vertrauenswürdigen Webseite oder E-Mail stammt. Microsoft hat den entsprechenden Hotfix mit allen früheren Sicherheitspatches für Outlook Express gebündelt und als „cumulative update“ herausgebracht (837009).

Ein weiterer Sammelflicken adressiert vier verschiedene Sicherheitslücken in Zusammenhang mit der Remote-Procedure-Call-Implementierung von Windows 2000, XP und 2003. Die schwer wiegendste erlaubt einem Angreifer im schlimmsten Fall, die vollständige Kontrolle über das betroffene System zu übernehmen und beliebigen Code mit allen Berechtigungen auszuführen. Die weiteren Lecks lassen sich zu DoS-Angriffen missbrauchen, was in diesem Fall auch nicht gerade auf die leichte Schulter genommen werden sollte, da ja schließlich der RPC-Dienst betroffen ist. Der Sammelflicken verschließt alle vier Lecks gleichzeitig. Man kann nur allen Administratoren empfehlen, ihre betroffenen Systeme so schnell wie möglich zu patchen (828741).

Unter dem Namen „Security Update for Windows“ hat Microsoft eine ganze Reihe von wichtigen Hotfixes gebündelt. Auch dies ist somit ein Sammelflicken, unterscheidet sich aber von herkömmlichen „cumulative updates“ dadurch, dass Sicherheitslücken nicht nur in einer Komponente oder Applikation, sondern in verschiedenen Bereichen des Betriebssystems behoben werden. Das Update flickt 14 Sicherheitslecks in verschiedenen Bereichen, darunter das ASN.1-Problem und eine Lücke im „Local Security Authority Subsystem“, die sich der Sasser-Wurm zu Nutze macht(e). Diese Vielseitigkeit erhebt den Sammelflicken zu einer Art kleinem Servicepack, das ebenfalls unbedingt installiert werden sollte - und zwar auf allen Windows-Versionen ab NT 4.0. Lediglich Windows 95/98 sind nicht betroffen (835732).

Angreifer, die eine Lücke in Microsofts Jet-Datenbank ausnützen, können beliebigen Code auf dem betroffenen Rechner ausführen. Dazu ist es lediglich notwendig, den Code mit einer entsprechenden Datenbankanfrage mitzuschicken; ein Pufferüberlauf in der Jet-Implementierung erledigt den Rest. Der Code läuft zwar nicht unbedingt im Sicherheitskontext des lokalen Systems - sondern vielmehr in dem der Jet-Anwendung - aber das kann ja manchmal schlimm genug sein. Betroffen sind alle Systeme ab Windows 2000 (837001).

Näheres zu den einzelnen Sicherheitsproblemen gibt es online unter www.microsoft.com/technet/security. Die in Klammern angegebenen KnowledgeBase-Artikel sind unter support.microsoft.com erhältlich. Über die iX-Webseite sind alle bisherigen Ausgaben von „Windows Security“ zu erreichen. (wm)