Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste kritischer Bugs samt zugehörigen Fixes. Durch diesen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
In diesem Monat hat das allerdings offensichtlich nicht so recht geklappt. Bereits am 30. Juli musste Microsoft ein kumulatives Patch-Paket für den Internet Explorer vorausschieben, dessen zu diesem Zeitpunkt haarsträubende Sicherheitslücken bereits ein deutliches Abwandern der Benutzer zu Browser-Alternativen verursacht hatten. Auch das lange erwartete und mehrfach verschobene Service Pack 2 für Windows XP konnte man in Redmond scheinbar nicht mehr bis zum regulären Patch-Day-Termin am 10. August aussitzen und veröffentlichte es bereits am Vortag.
Damit beschränken sich die von Microsoft als gefährlich erachteten Schwachstellen diesen Monat auf eine mittelschwere Lücke in der Outlook-Web-Access-Komponente des Exchange Server 5.5. Über Outlook Web Access (OWA) können Benutzer via Webbrowser auf ihr Exchange-Postfach zugreifen. Ein Exchange-Server mit OWA kann auch als Website fungieren, auf der die Benutzer E-Mails lesen oder verfassen und ihre Kalender verwalten.
MS04-026 - Script-Einspeisung in Exchange 5.5 OWA
Das im Microsoft Security Bulletin MS04-026 beschriebene Update für Microsoft Exchange Server 5.5 Outlook Web Access (OWA) beseitigt eine von Microsoft als mittelschwer eingestufte Sicherheitslücke, über die externe Angreifer Script-Injection-Attacken vornehmen und die Cache-Inhalte des Browsers oder eines Proxys fälschen können.
Ursache des Problems ist ein Fehler bei der Überprüfung von HTML-Umleitungsanfragen. Dies kann der Angreifer mittels einer speziell präparierten E-Mail-Nachricht ausnutzen, um beliebigen HTML- und Script-Code im Sicherheitskontext des attackierten Benutzers auszuführen. Dazu muss er das Opfer allerdings dazu verleiten, einen Link in der Nachricht anzuklicken.
Über eine erfolgreiche Attacke kann der Angreifer zudem Änderungen an den Cache-Inhalten des Webbrowsers und des Proxy-Servers vornehmen sowie unter Umständen auf beliebige Daten auf dem OWA-Server zugreifen, der dem Opfer zugänglich ist. SSL-verschlüsselte Verbindungen sind allerdings gegen das Cache-Spoofing immun, sofern im Internet Explorer des Clients die Option "Verschlüsselte Seiten nicht auf der Festplatte speichern" aktiviert wurde.
Als mögliche Problemumgehung nennt Microsoft das Deaktivieren oder komplette Entfernen von Outlook Web Access. Beide Work-arounds sind allerdings nicht wirklich praktikabel, da sie den Zugriff von Clients via OWA völlig unterbinden. Daher empfiehlt sich ein umgehendes Einspielen des zur Verfügung gestellten Patches.
Für eine erfolgreiche Installation des Updates muss auf dem OWA-Server folgendes installiert sein:
Internet Explorer 5.01 SP3 (Windows 2000 SP3)
Internet Explorer 5.01 SP4 (Windows 2000 SP4)
Internet Explorer 6 SP1 (andere unterstützte Betriebssysteme)
Datum | 10.08.2004 |
|---|---|
| |
Warnstufe | mittel |
Betrifft | Exchange Server 5.5 Outlook Web Access |
Auswirkung | Cross-Site Scripting, Cache Spoofing |
Work-around | Deaktivieren Sie Outlook Web Access. |
Updates | |
CVE |
MS04-025 - Kumulatives Update für Internet Explorer
Aufgrund gravierender Sicherheitslücken in den Internet-Explorer-Versionen 5.01, 5.5 und 6 hat Microsoft bereits Ende Juli außer der Reihe mit dem Microsoft Security Bulletin MS04-025 ein kumulatives Update für den löchrigen Browser veröffentlicht. Es beseitigt insgesamt drei Schwachstellen.
Die erste der drei Lücken war bereits seit Anfang Juni bekannt. Aufgrund von Fehlern im Zonenmodell des Internet Explorer in Kombination mit dem Zugriff auf lokale Ressourcen über bestimmte URIs kann ein Angreifern über entsprechend präparierte Webseiten Code auf den Rechner des Opfer schieben und dort im Rechtekontext des lokalen Systems ausführen.
Die beiden weiteren Schwachstellen betreffen Angriffe über entsprechend präparierte Bilddateien der Typen BMP und GIF, über die der Angreifer beliebigen Code auf dem Rechner des Opfers ausführen kann. Ursache ist im ersten Fall ein Ganzzahl-Vorzeichenfehler, im zweiten ein Begrenzungsfehler.
Eine erfolgreiche Attacke verschafft dem Angreifer in jedem Fall vollen Systemzugriff im Sicherheitskontext des Opfers. Für Benutzer, deren Konten mit niedrigeren Systemrechten konfiguriert sind, besteht also ein geringeres Risiko als für User, die mit Administrator-Berechtigung arbeiten.
Falls Sie dieses kumulative Update bislang noch nicht eingespielt haben, sollten Sie das spätestens jetzt sofort nachholen. Eine entsprechende Update-Matrix finden Sie im Security-Bulletin.
Datum | 30.07.2004 |
|---|---|
| |
Warnstufe | hoch |
Betrifft | alle Windows-Varianten |
Auswirkung | Systemzugriff von extern |
Work-around | |
Updates | |
CVE |
Windows XP Service Pack 2
Ebenfalls außerhalb des Patch-Day-Zyklus hat Microsoft am 9. August 2004 den lange erwarteten Service Pack 2 (SP2) für Windows XP veröffentlicht. Er liegt vorerst lediglich als so genanntes Netzwerkinstallationspaket für IT-Spezialisten und Entwickler vor. Eine Integration in WindowsUpdate ist noch nicht erfolgt, soll aber umgehend folgen.
Vorteil des 265 MByte großen Downloads gegenüber dem Windows-Update, das je nach bereits installierten Patches mit deutlich weniger Umfang auskommt: Das Netzwerkinstallationspaket lässt sich auf beliebig vielen Rechnern installieren. Das (noch nicht frei gegebene) maßgeschneiderte Service Pack 2 über WindowsUpdate taugt dagegen nur für die einmalige Verwendung auf dem jeweiligen Rechner.
Noch steht nicht final fest, wie sich SP2 mit einzelnen Anwendungen verträgt. Daher sollten Sie vor einem größeren Roll-out die Auswirkungen auf bereits installierte Software erst einmal an einem Testsystem überprüfen. Hilfreich dabei kann Ihnen möglicherweise eine Zusammenfassung der im Service Pack 2 für Windows XP enthaltenen Features sein, die Sie in unserem Artikel "Windows XP SP2 - das erwartet Sie" finden.
Manche Software-Hersteller wie Symantec geben dem SP2 allerdings eine Art Freifahrschein: "Symantec bestätigt, dass seine Firewall-, Virenschutzprodukte und integrierten Sicherheitslösungen für Endverbraucher und Unternehmen sowie die Produkte für die Unternehmensadministration mit dem neuen Windows XP Service Pack 2 von Microsoft kompatibel sind", heißt es in einer Symantec-Mitteilung. IBM dagegen verbietet seinen Mitarbeitern, das Service Pack 2 zu installieren. Erst müsse die Kompatibilität zu den Anwendungen und Services garantiert sein, die auf den rund 400.000 IBM Maschinen laufen, heißt es in einer internen Mail an die Mitarbeiter.
Fortschritte in Richtung Sicherheit
Mit dem kumulativen Update für den Internet Explorer und vor allem den neuen Sicherheitsfeatures im Windows XP Service Pack 2 machen Microsofts Betriebssysteme und Anwendungen nun endlich spürbare Fortschritte in Richtung Sicherheit.
Das war auch höchste Zeit, hatte doch bereits eine merkliche Abwanderung der Benutzer vom chronisch löchrigen Internet Explorer in Richtung der Open-Source-Alternative Mozilla eingesetzt. Die Internet-Marktforscher von WebSideStory registrierten im Juli 2004 zum erstenmal seit der Aufzeichnung der Browser-Marktanteile im Jahr 1999 einen Rückgang der Marktanteile für den IE. Von der seit Juni 2002 konstant gehaltenen 95-Prozent-Marke (Juni 2004: 95,73 Prozent) sackte er um einen vollen Prozentpunkt ab. Dagegen stiegt der Anteil der Mozilla-basierten Browser von 3,21 auf 4,05 Prozent.
Dass diese Entwicklung bei Microsoft nicht gerade Jubelrufe auslöst, liegt auf der Hand. Tatsächlich verdichten sich derzeit die Gerüchte und Anzeichen, dass uns demnächst der Internet Explorer 7 ins Haus stehen könnte. Als mögliche Features werden derzeit neben verbesserter Sicherheit vor allem funktionale Erweiterungen wie die Integration mehrerer Browserfenster ("Tabbed Browsing"), optimierte Unterstützung für CSS und PNG sowie RSS-Integration heiß gehandelt. Entwickler aus dem Internet-Explorer-Team fischen bereits über Websites wie das IEBlog oder das Channel9-Wiki nach Anregungen von Anwendern und Webentwicklern.
Wie auch immer: Nach wie vor sollten Sie vor allem beim Surfen im Netz der Netze, aber auch bei der E-Mail-Nutzung Vorsicht walten lassen. Dies gilt vor allem in Hinsicht auf jegliche Links von und zu nicht absolut vertrauenswürdigen Websites sowie auf jegliche Anhänge obskurer E-Mails. Tagesaktuelle Informationen zur Bedrohungslage bieten Ihnen dabei unsere tecCHANNEL Security Reports, die Sie auf Wunsch auch kostenlos per E-Mail erhalten. (jlu)