Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Im Dezember beseitigt Microsoft drei kritische und eine wichtige Sicherheitslücke. Betroffen ist auch diesmal wieder das Dauer-Sorgenkind Internet Explorer. Die restlichen Updates betreffen Microsoft Office. Vier angekündigte Patches ließ Microsoft allerdings unter den Tisch fallen. Diese werden wahrscheinlich im Februar nachgereicht.
Die hoch kritische Sicherheitslücke in Word (tecCHANNEL berichtete) wird allerdings immer noch nicht beseitigt, obwohl die Lücke bereits massiv ausgenutzt wird. Bis ein Patch erscheint sollten Sie daher nur vertrauenswürdige Word-Dateien öffnen.
MS07-001: Brasilianischer Grammatik-Check ermöglicht Code-Ausführung
Das erste Bulletin des Jahres 2007 dürfte hier in Deutschland nur wenige Office-Benutzer betreffen. Öffnet Office 2003 ein brasilianisches Dokument mit eingeschalteter Grammatikprüfung, können bestimmte Umstände dafür sorgen, dass beliebiger Code mit den Rechten des angemeldeten Benutzers ausgeführt wird.
Diese Lücke betrifft nur Office 2003 in der brasilianisch/portugiesischen Version. Sollten Sie also beispielsweise als Übersetzer arbeiten, installieren Sie das Update oder verlassen sich auf Ihre eigenen Sprachkenntnisse. Öffnen Sie nur Office-Dokumente aus vertrauten Quellen.
|
Datum |
10.01.2007 |
|---|---|
|
Warnstufe |
Wichtig |
|
Betrifft |
Office 2003 SP2 |
|
Auswirkung |
Ausführen beliebigen Codes |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS07-002: Code-Ausführung in Excel
Fünf Lücken in diversen Excel-Versionen können von Angreifern zur Ausführung beliebigen Codes genutzt werden. Alle fünf treten beim Parsen bestimmter Verwaltungsinformationen während des Ladens von Excel-Dateien auf.
Hier können speziell gestaltete Einträge für einen Absturz und ein nachfolgendes Ausführen beliebigen Codes mit den Rechten des angemeldeten Benutzers sorgen.
Nicht betroffen sind Office 2007 sowie Works 2006.
|
Datum |
10.01.2007 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Excel 2000, 2002, 2003, 2004 für Mac, v. X für Mac sowie Works 2004 und 2005 |
|
Auswirkung |
Ausführen beliebigen Codes, |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
CVE-2007-0027, CVE-2007-0028, CVE-2007-0029, CVE-2007-0030, CVE-2007-0031 |
MS07-003: Code-Ausführung via Outlook
Drei Lücken in Microsoft Outlook erlauben es einem Angreifer beliebigen Code auszuführen oder einen DoS hervorzurufen. Die erste betrifft das Parsen von iCal-Anfragen, bei denen ein speziell gestalteter VEVENT-Eintrag die Lücke offenbart. Ein Angreifer kann diese Lücke ausnutzen, indem er dem Opfer eine entsprechende Besprechungsanfrage schickt.
Bei der zweiten Lücke führt ein speziell gestalteter Email-Header zum Absturz von Outlook während des Abrufens der Mail vom Server. Um weitere Abstürze zu vermeiden, muss die Mail auf anderem Wege vom Server gelöscht werden - beispielsweise per Web-Zugriff.
Office kann vorherige Suchergebnisse in .oss-Dateien speichern. Beim Parsen einer fehlerhaften .oss-Datei kann Outlook abstürzen und möglicherweise beliebigen Code ausführen. Ein Angreifer muss dem Opfer lediglich eine speziell aufgebaute .oss-Datei schicken, um die Lücke auszunutzen.
|
Datum |
10.01.2007 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Outlook 2000, Outlook 2002, Outlook 2003 |
|
Auswirkung |
Ausführen beliebigen Codes, Denial of Service |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS07-004: Internet Explorer 7 hat Probleme mit VML
Ein Pufferüberlauf in der Komponente, die für das Parsen von VML-Objekten (Vector Markup Language) zuständig ist, ermöglicht einem Angreifer das Ausführen beliebigen Codes mit den Rechten des angemeldeten Benutzers.
Der Angreifer muss das Opfer nur dazu bringen, eine speziell gestaltete HTML-Datei anzuschauen - entweder per Webbrowser vom Server oder per Mail-Client.
|
Datum |
10.01.2007 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Internet Explorer 5, 6 und 7 |
|
Auswirkung |
Ausführen beliebigen Codes |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |