Microsoft
- Christian Segor
Offensichtlich hat die Schule wieder begonnen. Hätten die Scriptkiddies nämlich noch Ferien, wäre die Welt wahrscheinlich schon längst mit einem Nachfolger des Blaster-Wurms beglückt worden: Der Patch, der das von Blaster genutzte Leck in der RPC-Implementierung diverser Windows-Versionen verschließen sollte, hält nicht ganz dicht; und genau diese Lücke könnte sich eine Art „Blaster 2“ zu Nutze machen.
Microsoft hat den ursprünglichen Hotfix von Mitte Juli nachgebessert und die neu entdeckten Sicherheitslücken verschlossen. Ungepatchte Rechner erlauben es einem Angreifer, mittels fehlerhafter RPC-Nachrichten einen Pufferüberlauf herbeizuführen, dadurch beliebigen Code in den Hauptspeicher zu platzieren und dort auszuführen. Da der RPC-Service im Sicherheitskontext des lokalen Systems läuft, erhält der Angreifer die volle Kontrolle über die betroffene Maschine.
Der neue Patch verschließt nicht nur die jüngst bekannt gewordenen, sondern auch die ursprünglichen Lecks im RPC-Dienst, sodass es ausreicht, diesen Flicken zu installieren, um sowohl für Blaster als auch für alles, was da noch kommen möge, gewappnet zu sein. Microsoft stellt übrigens neben dem Hotfix ein Tool zur Verfügung, das lokale Netzwerke nach ungepatchten Rechnern absucht (824146, 827363).
Einen neuen „Cumulative Patch“ gibt es für den Internet Explorer. Zusätzlich zu allen bisherigen Sicherheits-Patches beseitigt der Sammelflicken zwei Schwachstellen, die beide zum Ausführen beliebigen Codes missbraucht werden können. Gravierende Folgen kann vor allem ein Fehler im ActiveX-Subsystem haben, der es erlaubt, beliebige Dateien ungefragt auf dem betroffenen Rechner zu kopieren und dort zu starten - es gibt bereits die ersten 0190-Dialer, die sich der Sicherheitslücke bedienen. Eine Demo findet sich auf den Security-Seiten des Heise-Verlags unter www.heise.de/security/dienste/browsercheck/demos/ie/e5_15.shtml, den entsprechenden Fix gibt es bei Microsoft (828750).
NBNS ist eine Komponente von NetBIOS, die für die Auflösung von Computernamen in IP-Adressen beim Betrieb von NetBIOS über TCP/IP zuständig ist. Aufgrund eines Programmierfehlers kann es vorkommen, dass ein Rechner zusammen mit der Antwort, die er auf eine NBNS-Anfrage gibt, weitere willkürliche Daten aus dem Hauptspeicher verschickt. Auf den ersten Blick mag das nicht allzu schlimm zu sein, da es ein Angreifer nicht in der Hand hat, ob und welche Speicherbereiche der Rechner preisgibt - Microsoft hat das Fehlverhalten folglich als „unkritisch“ eingestuft. Das erscheint bei näherer Betrachtung allerdings als ein wenig zu optimistisch. Es ist nur eine Frage der Zeit, bis ein beharrlicher Lauscher auf diese Art interessante und sicherheitsrelevante Daten wie Passwörter in die Hand bekommt. Betroffen sind alle Windows-Versionen von NT 4.0 bis 2003 (824105).
Diverse Sicherheitslücken sind in mehreren Teilen des Office-Pakets bekannt geworden. In allen Visual-Basic-for-Applications-(VBA-)Implementierungen existiert ein ungesicherter Puffer, der die Ausführung beliebigen Codes erlaubt, sobald ein Benutzer ein entsprechend präpariertes Office-Dokument öffnet. Da sich Word, Excel & Co. zu einem oft verwendeten Dateiaustauschformat entwickelt haben - und die meisten Benutzer immer noch dazu neigen, E-Mail-Anhänge arglos zu öffnen - empfiehlt es sich dringend, den passenden Hotfix zu installieren. Gleiches gilt für einen weiteren Fehler in Word, der dazu führen kann, dass das Programm Makros ohne vorherige Rückfrage ausführt.
Wer gelegentlich Word-Perfect-Dateien in Word importiert, sollte einen dritten Patch installieren, der einen Buffer Overrun im entsprechenden Konverter behebt. Sonst läuft man auch hier Gefahr, ungewollt fremden Code auf dem eigenen Rechner auszuführen, ohne es - zumindest sofort - zu merken.
Der vierte Sicherheitsflicken im Bunde schließt eine Lücke im so genannten Access Snapshot Viewer, eine Art Offline-Viewer für Access-Datenbanken. Der Snapshot Viewer ist kostenlos erhältlich und erlaubt es, Access-Datenbanken ohne lokale Office-Installation zu lesen, jedoch nicht, sie zu bearbeiten. Auch hier ermöglicht ein Pufferüberlauf das Starten beliebiger Programme im Sicherheitskontext des Benutzers, der den Snapshot Viewer ausführt (822715, 827653, 827103, 827104).
Näheres zu den einzelnen Sicherheitsproblemen sowie die angegebenen KnowledgeBase-Artikel gibt es online. (sun)
