10.08.2010 23:07
August-Patchday bei Microsoft: 35 Lücken weniger und eine mehr
15 Bulletins behandeln 35 Sicherheitslücken in Microsoft-Produkten – dies ist die Bilanz des Redmonder Rekord-Patchdays im August. Angekündigt waren am vergangenen Freitag noch 14 Bulletins und 34 Lücken, doch vermutlich wurde für diese Zählung lediglich das Bulletin für die bereits vorab geschlossene LNK-Lücke (MS10-046) ausgelassen.
Als kritisch eingestufte Updates gibt es für alle Windows-Versionen auf allen Plattformen, Microsoft Office für Windows und Mac, sowie für .NET und Silverlight. Betroffene Komponenten sind die Windows Shell, die XML Core Services, die MP3- und Cinepak-Codecs, IIS, IE 7 und 8, Word und der Windows-SMB-Netzwerkdienst. Über die behandelten Schwachstellen können größtenteils Angreifer Schadcode übers Netz einschleusen und verwundbare Systeme unter ihre Kontrolle bringen.
Updates mit der zweithöchsten Einstufung "wichtig" gibt es für alle Windows-Kernel und diverse Treiber, Movie Maker, Excel, den TCP/IP-Netzwerk-Stack sowie das Windows-Tracing-Feature. Über die meisten in diesen Komponenten enthaltenen Programmierfehler können sich lokale Angreifer erhöhte Zugriffsrechte verschaffen. Neue Signaturen gab es für das Malicious Software Removal-Tool. Die Updates verteilt Microsoft über die üblichen Mechanismen. Anwender sollten sie umgehend einspielen.
Etwas überraschend hingegen kam die Veröffentlichung eines Advisories zu Sicherheitslücken in der Windows Service Isolation, einem zusätzlichen Sicherheits-Feature, das nicht-privilegierten Prozessen Zugriff auf priviligierte Systemfunktionen ermöglicht. Ein erfolgreicher Angriff könne unter recht speziellen Bedingungen dazu führen, dass ein nicht-privilegierter NetworkService-Prozess System-Rechte erlangt.
Als möglichen Angriffsszenarien stellen die Redmonder ungewöhnlich konfigurierte IIS- und SQL-Server sowie Windows Telephony Application Programming Interfaces (TAPI) heraus. Laut Advisory soll es jedoch keinen Patch für das Problem geben. Die etwas schwammige Begründung: Die Windows Service Isolation sei lediglich eine zusätzliche Sicherheitsschicht ("a defense-in-depth feature"), das nicht alle Kunden einsetzen würden, und keine vollwertige Sicherheitsschranke ("not a proper security boundary"). In dem Advisory ist aber immerhin ein Workaround beschrieben.
Siehe dazu auch:
- Microsoft Security Bulletin Summary for August 2010, Zusammenfassung von Microsoft
- Microsoft Security Bulletin Summary für August 2010, deutsche Version
- Elevation of Privilege Using Windows Service Isolation Bypass, Advisory von Microsoft
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen [--] allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
