Microsoft behebt 17 Jahre alten Kernel-Fehler
Patches für SMB und Hyper-V, ActiveX Kill Bits für Internet Explorer
10.02.2010 | Redakteur: Stephan Augsten
Wie angekündigt liefert Microsoft am zweiten Patchday 2010 über ein Dutzend Sicherheitsupdates aus, fünf davon gelten als kritisch. Damit behebt der Hersteller 26 Schwachstellen über die gesamte Produktpalette hinweg. Unternehmen sollten sich im Rahmen des Patch-Prozesses auf obligatorische Neustarts einrichten.
Bereits in der Vorankündigung für den Februar-Patchday 2010 hatte Microsoft auf fünf kritische, sieben wichtige und ein moderates Security-Bulletin hingewiesen. Nun hat der Hersteller im Rahmen des Februar-Patchday weitere Details zu den entsprechenden Sicherheitslücken bekannt gegeben.
Für die aktuelle ActiveX-Schwachstelle im Internet Explorer liefert Microsoft keinen Patch im eigentlichen Sinne, denn dieser befindet sich noch in der Testphase. Stattdessen soll ein Update der ActiveX-Kill-Bits verhindern, dass das betroffene ActiveX-Steuerelement von einer manipulierten Webseite ausgeführt wird. Das Update beinhaltet auch Kill Bits für vier ActiveX-Steuerelemente von Drittanbietern.
Auf TCP/IP-Ebene behebt Microsoft eine kritische Schwachstelle im Umgang mit ICMPv6-Router-Paketen auf IPv6-fähigen Systemen. Bei einem erfolgreichen Angriff kann ein Hacker betroffene Rechner komplett übernehmen und anschließend Programme installieren, Daten löschen oder auch neue Benutzer-Accounts einrichten. Microsoft stuft die Schwachstelle unter Windows Vista und Server 2008 als kritisch ein.
Auch für den jüngt bekannt gewordenen Kernel-Fehler, der offensichtlich seit 17 Jahren mit sämtlichen 32-Bit-Versionen der Windows-Betriebssysteme ausgeliefert wird, gibt es ein Sicherheitsupdate. Der Fehler ermöglicht einem lokalen Anwender das Anheben seiner Rechte. Zwar kursiert hierfür bereits ein Proof-of-Concept-Code im Netz, Microsoft hat nach eigenen Aussagen aber noch keine aktiven Angriffe registriert.
Nicht alle SMB-Fehler behoben
Im Server Message Block (SMB), einem Protokoll zur Kommunikation zwischen Netzwerk-Devices, adressiert Microsoft zwei kritische Schwachstellen. Gelingt es einem Angreifer, einen SMB-Client-User auf einen bösartigen SMB-Server zu locken, kann er von außen Code auf dem betroffenen Client-System ausführen (Remote Code Execution). Das Sicherheitsupdate wird unter Windows 7, XP und 2000 sowie Windows Server 2008 R2 und Server 2003 als kritisch eingestuft, unter Windows Vista und Server 2008 immerhin als wichtig.
Darüber hinaus behebt Microsoft Probleme im Umgang mit SMB-Anfragen, die zu Speicherfehlern und Pufferüberläufen führen können, die wiederum eine Remote Code Exevution ermöglichen. Allerdings soll die Standard-Firewall-Konfiguration laut Microsoft das Risiko einer Attacke mindern.
Die im Oktober 2009 gemeldete SMB-Sicherheitslücke bleibt weiterhin ungepatcht (betrifft SMBv1 und SMBv2). Mit einer erfolgreichen Attacke kann ein Angreifer einen Denial of Service (DoS) provozieren. Obwohl das System einfriert, könnte er gleichzeitig Codesegmente ausführen.
Auch die Virtualisierungsplattform Hyper-V ist von einer DoS-Anfälligkeit betroffen. Führt ein authentifizierter User innerhalb seines virtuellen Gastsystems eine fehlerhafte Codesequenz aus, kann er den Hyper-V-Server und somit bis zu zehn virtuelle Rechner zum Absturz bringen.
Etliche Updates erfordern System-Neustart
Zwei wichtige Patches betreffen die Office-Suite vor Version 2007 sowie Powerpoint. Weitere Schwachstellen finden sich in Microsoft DirectShow, Paint und dem sogenannten Windows Client/Server Run-time Subsystem (CSRSS). Nähere Details beinhaltet die aktuelle Security-Bulletin-Zusammenfassung im Microsoft-Technet-Center.
Unternehmen sind angehalten, ältere Versionen der Office-Produktreihe und Windows-Betriebssysteme so schnell wie möglich zu aktualisieren. Der Zeitpunkt für das Einspielen der Patches will aber gut gewählt sein, da einige der Security-Updates einen Neustart erfordern.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2043264)
