Groß-Patch-Tag bei Excel

Was zunächst wie ein vergleichsweise ruhiger Patchday aussah, entpuppt sich eher als Groß-Patch-Tag vor allem für Excel-Anwender. Die angekündigten sechs Patch-Pakete beheben insgesamt 15 "Sicherheitsanfälligkeiten" in Microsoft Office und Windows. Viele davon sind als kritisch eingestuft und mit einem Ausnutzbarkeitsindex von 1 versehen. Das bedeutet, dass das Auftauchen von Exploits wahrscheinlich ist.

Allein die Sicherheitsnotiz MS09-067 beschreibt 8 Sicherheitsprobleme in Excel. Bei immerhin drei der Lücken halten die Sicherheitsexperten aus Redmond das Auftauchen von stabilen Exploits für wahrscheinlich. Betroffen sind die Office-Versionen XP, 2003, 2007 und auch Office für Mac. Auch der Einsatz des Excel-Viewers schützt nicht, da dieser ebenfalls anfällig ist. Das gilt im Übrigen auch für die Sicherheitslücke in Word (MS09-068), bei der ebenfalls der Viewer betroffen ist. Wie üblich stuft Microsoft die Office-Lücken nicht in der obersten Kategorie ein, weil der Anwender die präparierten Dokumente öffnen muss.

Von den drei Sicherheitslücken der Windows-Kernelmodustreiber, die MS09-065 beschreibt, ist vor allem ein Fehler beim Verarbeiten von  Embedded OpenType Schriften (EOT) hervorhebenswert. Auf Windows XP und Server 2003 kann ein Angreifer durch Dokumente oder Web-Seiten, die diese Schriftarten einsetzen, eigenen Code einschleusen und ausführen. Über die beiden anderen Schwachstellen könnte er sich lediglich höhere Rechte verschaffen.

Ausschließlich Vista und das verwandte Server 2008 betrifft ein Fehler im Protokoll für die Zusammenarbeit mit Geräten wie Druckern, Kameras und PDAs  (MS09-063). Dazu lauscht auf den TCP-Ports 5357 und 5358  der Dienst Web Services on Devices API (WSDAPI), der offenbar die Header von WSD-Nachrichten nicht richtig verarbeitet. Der Dienst ist in allen Einstellungen der Windows Firewall außer denen für öffentliche Netze frei geschaltet. und somit von außen erreichbar. Außerdem können auch Antworten auf ausgehende Anfragen die Lücke ausnutzen.

MS09-066 berichtet von ein Problem des LDAP-Dienstes im Active Directory  von XP und Server 2000/2003/2008. Anscheinend kann ein Angreifer durch einen Fehler im LSASS Systeme lahmlegen, die als Domänencontroller oder für die Ausführung von ADAM oder AD LDS konfiguriert sind. Das Update zu MS09-064 beseitigt ein kritisches Sicherheitsproblem des Lizenzprotokollierservers von Windows 2000 Server.

Auffällig ist, dass anscheinend dieses Mal alle extern gefundenen Sicherheitslücken zunächst bei Microsoft gemeldet wurden. Außerdem ist Microsofts neueste Windows-Version von keiner der Lücken betroffen, was sich natürlich auf verschiedenste Art interpretieren lässt. Auf jeden Fall sollten die Anwender die Updates baldmöglichst einspielen – am besten über Microsofts automatischen Update-Service, der ja bereits seit einiger Zeit auch die Office-Kunden bedient.

Siehe dazu auch:

• Security Bulletin Summary for November 2009 von Microsoft
• Security Bulletin Summary für November 2009 deutsche Zusammenfassung