Auch diesen Monat ist Office wieder mit zwei Lücken vertreten, beide kritisch. Besonders brisant ist die erste, da sie beispielsweise sich über den Preview-Modus von Outlook 2007 ausnutzen lässt.
Die Lücke in der Malware Protection Engine betrifft eine Reihe von Sicherheits-Produkten, wie beispielsweise Live One Care, Windows Defender, Antigen und Forefront Security.
Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
MS08-026: Code-Ausführung über Microsoft Word
Dieser Patch behebt zwei Lücken in Microsoft Word, die ein Angreifer ausnutzen kann, um beliebigen Code auf dem System des Opfers auszuführen. Die erste Lücke betrifft mal wieder den bereits hinlänglich bekannten Objekt-Parser. Dieser berechnet unter Umständen die benötigte Speichergröße beim Öffnen von RTF- oder HTML-Dokumenten nicht korrekt, so dass Systemspeicher überschrieben wird.
Da beispielsweise Outlook 2007 per Default Word als Editor und Viewer verwendet, muss der Angreifer einem solchen Benutzer lediglich eine speziell präparierte Email schicken. Ein Betrachten im Preview-Modus reicht schon aus.
Die zweite Lücke betrifft die Verarbeitung von CSS-Informationen in Word-Dokumenten. Auch hier kann beim Betrachten eines speziell präparierten Word-Dokuments Systemspeicher überschrieben werden.
|
Datum |
13.05.2008 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Office 2000, XP, 2003, 2007, 2004 for Mac, 2008 for Mac |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS08-027: Code-Ausführung über Microsoft Publisher
Ein Fehler in der Routine, die zur Kommunikation mit einem OLE-Server dient, kann zur Ausführung beliebigen Codes mit vollen Rechten führen.
Ein Angreifer muss das Opfer lediglich dazu bringen, ein speziell präpariertes Publisher-Dokument zu öffnen.
|
Datum |
13.05.2008 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Office 2000, XP, 2003, 2007 |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS08-28: Code-Ausführung über die Jet Database Engine
Ein Puffer-Überlauf in der Jet Database Engine von Microsoft ermöglicht es Angreifern, beliebigen Code mit den Rechten des gerade angemeldeten Benutzers auszuführen. Grund ist eine nicht ausreichende Validierung von Datenstrukturen.
Zwar sind mdb-Dateien (Access Datenbanken) per se auf der Liste potenziell unsicherer Dateien (IE und Outlook), allerdings kann ein Angreifer das umgehen, indem er die speziell präparierte Jet-Datenbank in ein Word-Dokument einbettet und an das Opfer sendet.
|
Datum |
13.05.2008 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Windows 2000, Windows XP, Server 2003 |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS08-29: DoS gegen Malware-Protection-Engine
Die in diversen Produkten eingesetzte Malware-Protection-Engine von Microsoft ist anfällig gegen zwei Arten von DoS-Angriffen. Beim Scannen einer speziell präparierten Datei stürzt sie ab und startet neu. Bei der zweiten verbraucht die Engine den gesamten Speicherplatz auf der Platte und stürzt deswegen ab. Beim automatischen Neustart werden die temporären Dateien allerdings wieder gelöscht, so dass ein normales Weiterarbeiten möglich ist.
Um die Lücke auszunutzen, muss der Angreifer lediglich eine speziell präparierte Datei an ein von der Engine geschütztes System schicken.
|
Datum |
13.05.2008 |
|---|---|
|
Warnstufe |
Wichtig |
|
Betrifft |
Windows Live One Care, Microsoft Antigen for Exchange, Microsoft Antigen for SMTP Gateway, Windows Defender, Forefront Client Security, Forefront Security for Exchange Server, Forefront Security for SharePoint |
|
Auswirkung |
Denial of Service |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |