Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Im Dezember gab es sieben Bulletins, die elf Lücken unter anderem in Windows Vista, dem neuen SMB-Protokoll und dem neuen Internet Explorer 7 schließen. Der Januar lässt sich nur scheinbar ruhig an: Die kritische Lücke im TCP/IP-Stack aller Windows-Versionen inklusive Vista lässt sich ausnutzen, um beliebigen Code mit vollen Rechten auszuführen. Damit sind beispielsweise alle DSL-Nutzer in Gefahr, die den PPPoE-Client direkt auf dem Rechner laufen lassen und keinen DSL-Router verwenden. Ebenso betroffen sind etwa Notebook-Besitzer, die unterwegs per UMTS-Karte ins Internet gehen.
MS08-001: Code-Ausführung über TCP/IP-Stack
Bei der Verarbeitung von IGMPv3- (Internet Group Management Protocol) und MLDv2- (Multicast Listener Discovery) Paketen gerät der TCP/IP-Stack ins Stolpern und es kann zur Ausführung beliebigen Codes mit vollen Rechten kommen.
Dazu muss der Angreifer lediglich ein speziell präpariertes IGMP- oder MLD-Paket an das Opfer senden. Gefährdet durch Hacker von außen sind vor allem Windows-Rechner, die direkt (also nicht über einen zwischengeschalteten Router) mit dem Internet verbunden sind. In einem solchen Fall ist sofortiges Aktualisieren angezeigt. Es kann auch nicht schaden, eingehende IGMP- und MLD-Pakete auszufiltern, da Multicast immer noch so gut wie nie über das Internet verwendet wird.
Neben der kritischen Lücke behebt das Update auch einen möglichen DoS im RDP (ICMP Router Discovery Protocol). Dieses ist jedoch per Default nicht eingeschaltet.
Datum |
08.01.2008 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Windows 2000, XP, Server 2003, Vista |
Auswirkung |
Code-Ausführung, DoS |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS08-002: lokale Rechteausweitung über LSASS
Der Local Security Authority Subsystem Service (LSASS) verarbeitet bestimmte Local Procedure Calls (LPC) nicht korrekt, so dass es zur Ausführung beliebigen Codes mit vollen Rechten kommen kann.
Dazu muss der Angreifer sich jedoch lokal an der Maschine anmelden und eine speziell präparierte Anwendung starten, oder das Opfer dazu bringen, diese herunterzuladen und zu starten.
Datum |
08.01.2008 |
---|---|
Warnstufe |
Wichtig |
Betrifft |
Windows 2000, XP; Server 2003 |
Auswirkung |
Lokale Rechteausweitung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |