Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Im September gab es lediglich drei Bulletins für ebenso viele Lücken. Der Oktober ist dagegen etwas lebhafter zu: zehn Bulletins für fast 26 Lücken - sechs der Bulletins sind als kritisch eingestuft. Die kritische Lücke in Word hat Microsoft ebenfalls behoben.
Der Internet Explorer ist über die XML-Lücken direkt betroffen. Deshalb sollten Sie die folgenden Sicherheitshinweise für die Arbeit mit dem IE beachten:
-
Surfen Sie nur mit einem eingeschränkten Account.
-
Schalten Sie aktive Inhalte (Scripting und ActiveX) nur für absolut vertrauenswürdige Sites frei.
-
Klicken Sie nicht auf jeden Link, insbesondere nicht auf Links aus dubiosen Quellen (etwa Spam-Mails).
-
Besuchen Sie wichtige Sites wie Online-Banking oder Ähnliches nur über Bookmarks.
-
Wenn Sie nicht unbedingt auf den Internet Explorer angewiesen sind, sollten Sie einen alternativen Browser in Erwägung ziehen.
MS06-055: Lücke in VML erlaubt Code-Ausführung
Bereits Ende September hatte Microsoft die Lücke in der Vector Markup Language gemeldet und behoben.
Ursache ist ein ungeprüfter Puffer bei der Verarbeitung von VML-Dokumenten. Um die Lücke auszunutzen, muss der Angreifer das Opfer lediglich auf eine speziell präparierte Webseite locken oder ihm eine entsprechende Email schicken. In Folge kann er beliebigen Code mit den Rechten des angemeldeten Benutzers ausführen.
|
Datum |
26.09.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Windows 2000 SP4, XP SP2, XP 64, Server 2003 SP1 |
|
Auswirkung |
Ausführen beliebigen Codes |
|
Workaround |
Keiner |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-056: Preisgabe von Informationen über ASP.Net 2.0
Über eine Cross-Site-Scripting-Lücke im .Net-Framework 2.0 können Angreifer auf einem Server mit ASP.Net 2.0 beliebige Skripte in die Browser-Session eines anderen Benutzers einschleusen. Diese Skripte könnten alle Aktionen durchführen, zu denen auch der Benutzer berechtigt ist.
Die Lücke basiert auf Komponenten, bei denen die Eigenschaft „AutoPostBack“ auf true gesetzt ist.
|
Datum |
11.10.2006 |
|---|---|
|
Warnstufe |
Mittel |
|
Betrifft |
.Net-Framework 2.0 |
|
Auswirkung |
Preisgabe von Informationen |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-057: Code-Ausführung über Windows Explorer
Wird der Windows Explorer über die ActiveX-Komponente WebViewFolderIcon (Web View) aufgerufen, ist die Parameterüberprüfung nicht völlig zuverlässig. Dadurch kann es zur Ausführung beliebigen Codes mit den Rechten des angemeldeten Benutzers kommen.
Obwohl die Lücke den Windows Explorer betrifft, lässt sie sich auch über das Internet ausnutzen, da der Angriffsweg über den Internet Explorer führt. Dazu muss der Angreifer das Opfer lediglich auf eine speziell präparierte Website locken.
Unter Windows Server 2003 läuft der Internet Explorer normalerweise im „Erweiterten Sicherheitsmodus“. Dort ist die Lücke nicht ausnutzbar.
|
Datum |
11.10.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Windows 2000 SP4, XP SP2, XP 64, Server 2003 SP1 |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-058: Code-Ausführung über Powerpoint
Gleich vier Lücken in Powerpoint behebt dieses Update. Gemein ist allen Fehlern, dass sie die Ausführung beliebigen Codes mit den Rechten des angemeldeten Benutzers ermöglichen und dass sie sich auch über das Internet ausnutzen lassen, indem der Angreifer ein speziell präpariertes Powerpoint-Dokument ins Web stellt oder dem Opfer per Email zukommen lässt. Dann muss er das Opfer nur noch dazu bewegen, diese Datei anzuschauen.
Grund ist jeweils ein ungeprüfter Puffer bei der Verarbeitung von bestimmten Bestandteilen der Powerpoint-Datei.
|
Datum |
11.10.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Powerpoint 2000, 2002 (XP), 2003, 2004 for Mac, v. X for Mac |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
CVE-2006-3435 , CVE-2006-3876 , CVE-2006-3877 , CVE-2006-4694 |
MS06-059: Code-Ausführung über Excel
Gleich vier Lücken in Excel behebt dieses Update. Gemein ist allen Fehlern, dass sie die Ausführung beliebigen Codes mit den Rechten des angemeldeten Benutzers ermöglichen und dass sie sich auch über das Internet ausnutzen lassen, indem der Angreifer ein speziell präpariertes Excel-Dokument ins Web stellt oder dem Opfer per Email zukommen lässt. Dann muss er das Opfer nur noch dazu bewegen, diese Datei anzuschauen.
Grund ist jeweils ein ungeprüfter Puffer bei der Verarbeitung von bestimmten Bestandteilen der Excel-Datei. Ein Fehler wirkt sich bei der Konvertierung von Dateien im Format Lotus 1-2-3 aus.
|
Datum |
11.10.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Excel 2000, 2002 (XP), 2003, 2004 for Mac, v. X for Mac, Excel Viewer 2003 |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
CVE-2006-2387 , CVE-2006-3431 , CVE-2006-3867 , CVE-2006-3875 |
MS06-060: Code-Ausführung über Word
Gleich vier Lücken in Word behebt dieses Update. Gemein ist allen Fehlern, dass sie die Ausführung beliebigen Codes mit den Rechten des angemeldeten Benutzers ermöglichen und dass sie sich auch über das Internet ausnutzen lassen, indem der Angreifer ein speziell präpariertes Word-Dokument ins Web stellt oder dem Opfer per Email zukommen lässt. Dann muss er das Opfer nur noch dazu bewegen, diese Datei anzuschauen.
Zum einen behebt das Update die kritische Lücke in Word, bei der eine spezielle Zeichenkette einen Pufferüberlauf hervorrufen kann. Eine andere Lücke tritt beim Verarbeiten von Mail-Merge-Dateien auf.
|
Datum |
11.10.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Word 2000, 2002 (XP), 2003, 2004 for Mac, v. X for Mac |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
CVE-2006-2387 , CVE-2006-3431 , CVE-2006-3867 , CVE-2006-3875 |
MS06-061: Code-Ausführung über XML im Internet Explorer
Zwei Lücken bei der Verarbeitung von XML-Dateien behebt dieses Update. Sie haben vor allem Auswirkungen auf den Internet Explorer, denn die betroffenen Komponenten werden hauptsächlich in Ajax-Anwendungen verwendet. Der Angreifer muss das Opfer lediglich auf eine speziell präparierte Website locken.
Ein Bug in den XML-Core-Services lässt sich ausnutzen, um an sensitive Informationen zu gelangen. Der Grund ist, dass das ActiveX-Control XMLHTTP serverseitige HTTP-Redirects nicht korrekt interpretiert. In diesem Fall werden die Sicherheits-Einstellungen des Internet Explorer nicht korrekt auf den umgeleiteten Datenstrom angewendet.
Ein nicht ausreichend geprüfter Puffer bei der Verarbeitung von XSLT-Dateien (Extensible Stylesheet Language Transformations) im MSXML-Control zeichnet für die zweite Lücke verantwortlich. Hier kann es zur Ausführung beliebigen Codes mit den Rechten des gerade angemeldeten Benutzers kommen.
|
Datum |
11.10.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Windows 2000 SP4, XP SP2, XP 64, Server 2003 SP1 |
|
Auswirkung |
Informationspreisgabe, Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-062: Code-Ausführung über Office
Dieses Update behebt Lücken in einer Reihe von Office-Produkten, die allesamt die Ausführung beliebigen Codes mit den Rechten des gerade angemeldeten Benutzers erlauben.
Grund ist jeweils die fehlerhafte Verarbeitung bestimmter Elemente in Office-Dokumenten. Um die Lücke auszunutzen, muss der Angreifer das Opfer dazu bringen, ein speziell präpariertes Office-Dokument zu öffnen.
|
Datum |
11.10.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Office 2000, XP, 2003, 2004 for Mac, v. X for Mac |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
CVE-2006-3434 , CVE-2006-3650 , CVE-2006-3864 , CVE-2006-3868 |
MS06-063: DoS und Code-Ausführung über Server-Dienst
Dieses Update behebt zwei Lücken im Server-Dienst von Windows. Die erste beruht auf einem nicht initialisierten Puffer. Sie lässt sich von anonymen Angreifern ausnutzen, um dafür zu sorgen, dass der Dienst nicht mehr auf Anfragen reagiert. Der Angreifer muss lediglich eine speziell präparierte Nachricht an den Computer schicken.
Die zweite Lücke wird in der „Executive Summary“ des Bulletins zwar als DoS ausgewiesen, liest man jedoch die Beschreibung, erfährt man, dass sich darüber beliebiger Code mit vollen Rechten ausführen lässt. Der Fehler liegt darin, dass der Server-Dienst unter bestimmten Umständen versucht, einen ungültigen Zeiger zu dereferenzieren. Die Lücke kann nur von einem angemeldeten Benutzer ausgenutzt werden.
Ist der Server-Dienst auch über das Internet erreichbar, kann natürlich auch von dort ausgenutzt werden.
|
Datum |
11.10.2006 |
|---|---|
|
Warnstufe |
Wichtig / Kritisch |
|
Betrifft |
Windows 2000 SP4, XP SP2, XP 64, Server 2003 SP1 |
|
Auswirkung |
Denial of Service, Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-064: DoS über TCP/IP IPv6
Drei schon etwas ältere Bugs in der IPv6-Implementation von Windows behebt dieses Update. Sie stammen aus den Jahren 2004 und 2005. Alle drei lassen sich für einen Denial of Service ausnutzen.
Die erste liegt im ICMP und lässt sich ausnutzen, IPv6 zum Beenden einer bestehenden TCP-Verbindung zu bringen. Speziell geformte TCP-Pakete lassen sich ebenfalls dazu ausnutzen.
Die dritte Lücke tritt auf, wenn das System ein SYN-Paket von einer gespooften IPv6-Adresse erhält, bei der Zieladresse und -port identisch mit den Absendeinformationen sind. Dadurch verbraucht das System eine Zeit lang extrem viel Rechenzeit und ist dementsprechend unerreichbar.
|
Datum |
11.10.2006 |
|---|---|
|
Warnstufe |
Niedrig |
|
Betrifft |
Windows XP SP2, XP 64, Server 2003 SP1 |
|
Auswirkung |
Denial of Service |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-065: Code-Ausführung über Object Packager
Eine Menge Benutzerinteraktion ist notwendig, um diese Lücke im Object Packager auszunutzen: Das Opfer müsste eine RTF-Datei öffnen, das eingebettete Object auswählen und dann einen irreführenden Dialog bestätigen. Wäre das geschafft, könnte der Angreifer allerdings beliebigen Code mit vollen Rechten ausführen.
|
Datum |
11.10.2006 |
|---|---|
|
Warnstufe |
Mittel |
|
Betrifft |
Windows XP SP2, XP 64, Server 2003 SP1 |
|
Auswirkung |
Code-Ausführung mit vollen Rechten |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |