Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Im Mai beseitigt Microsoft mit den sieben Patches neunzehn Sicherheitslücken. Alle Patches sind als kritisch eingestuft. Betroffen ist auch diesmal wieder das Dauer-Sorgenkind Internet Explorer. Die restlichen Updates betreffen Windows, Office (auch in der Mac-Version), Exchange und Windows Server.
MS07-023: Code-Ausführung über Excel
Drei Fehler in Microsoft Excel adressiert dieses Bulletin von Microsoft. Der erste dreht sich um die Verarbeitung von ungültigen BIFF-Einträgen. Dadurch kann es zum Überschreiben von Speicherbereichen und der Ausführung beliebigen Codes kommen. Dasselbe Ergebnis kann eine fehlerhafte Schriftartangabe oder ein entsprechender Filter-Eintrag für eine Excel-Datei hervorrufen.
Der Code wird mit den Rechten des gerade angemeldeten Benutzers durchgeführt. Um diese Lücken auszunutzen, muss der Angreifer das Opfer dazu bringen, eine speziell präparierte Excel-Datei zu öffnen.
Datum |
08.05.2007 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Excel 2000, 2002, 2003, 2007 und 2004 for Mac |
Auswirkung |
Ausführen beliebigen Codes |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS07-024: Code-Ausführung über Word
Ebenfalls drei Lücken behebt dieses Update für Word. Grund ist jeweils eine nicht ausreichende Überprüfung von in Arrays enthaltenen Daten sowie Objekten und RTF-Bestandteilen in Dokumenten.
Dadurch kann es zum Überschreiben von Speicherbereichen und der Ausführung beliebigen Codes kommen. Der Code wird mit den Rechten des gerade angemeldeten Benutzers durchgeführt. Um diese Lücken auszunutzen, muss der Angreifer das Opfer dazu bringen, eine speziell präparierte Word-Datei zu öffnen.
Datum |
09.05.2007 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Word 2000, 2002, 2003, 2004 for Mac sowie Works Suite 2004, 2005 und 2006 |
Auswirkung |
Ausführen beliebigen Codes, |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS07-025: Code-Ausführung über Office-Grafikobjekte
Wiederum ist eine nicht ausreichende Validierung Schuld an einem Patch. In diesem Fall werden in manchen Office-Applikationen Grafikobjekte nicht ausreichend überprüft.
Dadurch kann es zum Überschreiben von Speicherbereichen und der Ausführung beliebigen Codes kommen. Der Code wird mit den Rechten des gerade angemeldeten Benutzers durchgeführt. Um diese Lücken auszunutzen, muss der Angreifer das Opfer dazu bringen, eine speziell präparierte Word-Datei zu öffnen.
Betroffen sind Excel, Frontpage / Expression Web, Publisher und der Sharepoint Designer in den genannten Office Suiten.
Datum |
08.05.2007 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Office 2000, XP, 2003, 2007 und 2004 for Mac |
Auswirkung |
Ausführen beliebigen Codes |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS07-026: Code-Ausführung über Exchange Server
Vier Lücken im Exchange Server soll dieses Update beheben. Die erste betrifft Outlook Web Access. OWA behandelt eine UTF-Zeichensatzdeklaration falsch, so dass eine Script-Einschleusung möglich ist. Das Script läuft dann im Rechtekontext der OWA-Session. Ein Angreifer könnte so Zugang zur OWA-Session erhalten und an Informationen gelangen.
Die Exchange Collaboration Data Objects (EXCDO) stellen eine Schnittstelle zu bestimmten Informationstypen bereit. Im Falle von iCal (Internet Calendar) kann es bei bestimmten Eigenschaften dazu kommen, dass der Exchange Server nicht mehr auf Anfragen reagiert und neu gestartet werden muss. Ein Angreifer müsste nur eine speziell präparierte iCal-Information an einen Benutzer des Servers schicken.
Beim Verarbeiten von BASE64-codierten Inhalten kann es passieren, dass beliebiger Code auf dem System mit vollen Benutzerrechten ausgeführt wird. Ein Angreifer müsste dazu nur eine speziell präparierte Nachricht an einen Benutzer des Servers schicken.
Die fehlerhafte Verarbeitung eines IMAP-Befehls kann dazu führen, dass der Exchange Server nicht mehr auf Anfragen reagiert und neu gestartet werden muss. Ein Angreifer muss lediglich ein entsprechend ausgestaltetes Kommando an den IMAP-Dienst von Exchange schicken.
Datum |
08.05.2007 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Exchange Server 2000, 2003, 2007 |
Auswirkung |
Ausführen beliebigen Codes, Preisgabe von Informationen, Denial of Service |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS07-027: Kumulatives Update für den Internet Explorer
Fünf teils kritische Lücken im Internet Explorer behebt dieses Update. Als erstes hat man ein weiteres ActiveX-Objekt ausgemacht, dessen Kill-Bit nicht gesetzt war.
Beim Zugriff auf ein Objekt, das bereits wieder freigegeben ist, kann es zum Überschreiben von Speicherbereichen und in Folge zur Ausführung beliebigen Codes mit den Rechten des angemeldeten Benutzers kommen. Auch Zugriffe auf nicht initialisierten Speicher oder auf eine Eigenschaften-Methode führen zu dem Effekt.
Um die Lücken auszunutzen, muss der Angreifer das Opfer lediglich auf eine speziell präparierte Web-Seite locken.
Datum |
08.05.2007 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Internet Explorer 5.01, 6 und 7 |
Auswirkung |
Ausführen beliebigen Codes, Rechteausweitung, Denial of Service |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
CVE-2007-0942, CVE-2007-0944, CVE-2006-0945, CVE-2006-0946, CVE-2006-0947, CVE-2006-2221 |
MS07-028: Code-Ausführung über CAPICOM
Das Cryptographic API Component Object Model (CAPICOM) ist ein ActiveX-Modul, das Script-Sprachen wie VBScript, ASP oder ASP.Net Zugriff auf die Windows Crypto-API gibt. Bei bestimmten, unerwarteten Eingaben an das Modul kann es dazu kommen, dass beliebiger Code ausgeführt wird.
Ein erfolgreicher Angriff setzt voraus, dass das ActiveX auf dem System installiert ist und das Opfer auf eine speziell präparierte Web-Seite gelockt wird. CAPICOM wird über den Biztalk Server 2004 oder als Bestandteil des Platform SDK installiert.
Datum |
08.05.2007 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
CAPICOM, Biztalk Server 2004 |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS07-029: Code-Ausführung über DNS-RPC-Schnittstelle
Über einen Pufferüberlauf im RPC-Verwaltungsinterface für den „Windows Domain Name System Server“-Dienst kann ein Angreifer komplette Kontrolle über das System erlangen.
Der Angreifer muss nur ein speziell präpariertes RPC-Paket an den Server schicken, um ein beliebiges Programm mit den Rechten „Lokales System“ ausführen zu können.
Datum |
08.05.2007 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Windows Server 2000, 2003 |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |