Am Oktober-Patchday hat Microsoft wie angekündigt 8 als kritisch und 5 als wichtig eingestufte Security Bulletins veröffentlicht, mit denen insgesamt 33 Schwachstellen behoben werden. Ursprünglich waren 34 Schwachstellen angekündigt worden, eine wurde jedoch doppelt gezählt, da sie in zwei Security Bulletins vorkommt. Trotzdem ist dieser Patchday einsame Spitze: Mehr Security Bulletins wurden an keinem vorherigen Patchday veröffentlicht, wie Microsoft selbst bestätigt hat. Außerdem ist es der erste Patchday, an dem auch Patches für Windows 7 veröffentlicht wurden. Patches für ein noch gar nicht erhältliches System - das gibt es auch selten.

Adobe hat an seinem zweiten quartalsweisen Patchday nur ein Security Bulletin veröffentlicht, das dafür aber gleich 29 Schwachstellen in Adobe Reader und Acrobat korrigiert. Microsoft versorgt dagegen mit seinen Patches für die 33 Schwachstellen fast die gesamte Produktpalette.

Die kritischen Microsoft-Bulletins

Die Bulletins werden in der Reihenfolge aufgeführt, die Microsoft im 'Security Bulletin Summary' verwendet hat.

MS09-050 - SMBv2

MS09-050 beschreibt eine bereits bekannte und zwei vertraulich gemeldete Schwachstellen in SMBv2, die DoS-Angriffe und die Ausführung beliebigen Codes erlauben. Betroffen sind Windows Vista samt SP1 und SP2 und Server 2008 samt SP2, die Schwachstellen werden insgesamt als kritisch eingestuft.

Bezüglich der bereits bekannten Schwachstelle scheint Microsoft teilweise ein Informationsdefizit zu haben:

When this security bulletin was issued, had Microsoft received any reports that this vulnerability was being exploited?
No. Microsoft had not received any information to indicate that this vulnerability had been publicly used to attack customers and had not seen any examples of proof of concept code published when this security bulletin was originally issued.

Mehrere Exploits wurden veröffentlicht, darunter auch für das Exploit-Framework Metasploit. Und das wird auch im Security Resarch & Defense Blog bestätigt. Nur der Schreiber des Bulletins scheint das nicht mitbekommen zu haben.

MS09-051 - Windows Media Runtime

MS09-051 beschreibt zwei vertraulich gemeldete Schwachstellen in der Windows Media Runtime, die die Ausführung beliebigen Codes durch präparierte Media-Dateien oder -Streams erlauben. Die Schwachstellen werden für den DirectShow WMA Voice Codec, Windows Media Audio Voice Decoder und Audio Compression Manager in Windows 2000 SP4, XP SP2/SP3, Server 2003 SP2, Vista samt SP1/SP2 und Server 2008 samt SP2, mit Ausnahme der jeweiligen Itanium-Versionen, als kritisch eingestuft. Ein Eintrag im Security Research & Defense Blog liefert weitere Informationen zu den betroffenen Plattformen.

Eine Schwachstelle tritt beim Auswerten von Advanced Systems Format (ASF) Dateien auf. Sie ist laut FAQ bereits öffentlich bekannt und wird für Angriffe verwendet. Zu dieser Schwachstelle hat die Zero Day Initiative (ZDI) ein eigenes Advisory veröffentlicht. Die zweite Schwachstelle tritt beim Öffnen komprimierter Audio-Dateien auf.

MS09-052 - Windows Media Player

MS09-052 beschreibt eine vertraulich gemeldete Schwachstelle beim Verarbeiten von ASF-Dateien durch den Windows Media Player, die die Ausführung beliebigen Codes erlaubt. Die Schwachstelle wird für den Media Player 6.4 unter Windows 2000 SP4, XP SP2/SP3 und Server 2003 SP2 als kritisch eingestuft.

MS09-054 - Internet Explorer

Eine bereits öffentlich bekannte und drei vertraulich gemeldete Schwachstellen im Internet Explorer werden in MS09-054 beschrieben. Die Schwachstellen erlauben die Ausführung beliebigen Codes und werden insgesamt als kritisch eingestuft. Betroffen sind Version 5.01, 6, 6 SP1, 7 und 8 unter den jeweils unterstützen Systemversionen. Ein Eintrag im Security Research & Defense Blog beschreibt die Angriffsfläche genauer.

Zu einigen der Schwachstellen wurden auch von ihren Entdeckern Advisories veröffentlicht: Eins von SkyLined und zwei von der Zero Day Initiative (zum Event Object Type und dem 'writing-mode').

MS09-055 - ActiveX-Controls

Mit MS09-055 wird für eine Reihe von ActiveX-Controls, die angreifbare Versionen der Microsoft Active Template Library (ATL) nutzen, das Killbit gesetzt. Das Bulletin wird für Windows 2000 und XP als kritisch eingestuft, für Windows Vista und Windows 7 als wichtig, für Windows Server 2003 als moderat und für Windows Server 2008 und Server 2008 R2 als 'low'. Microsoft meldet vereinzelte Angriffe auf verschiedene betroffene Controls.

MS09-060 - Microsoft Office

Mehrere zu Microsoft Office gehörende ActiveX-Controls verwenden ebenfalls eine angreifbare Version der Microsoft Active Template Library (ATL). Mit MS09-060 wird für die betreffenden Controls das Killbit gesetzt. Betroffen sind Microsoft Office XP SP3, 2003 SP3 und 2007 SP1/SP2 und der Visio Viewer 2002, 2003 und 2007 (samt SP1/SP2).

MS09-061 - .NET Framework und Silverlight

MS09-061 beschreibt drei vertraulich gemeldete Schwachstellen im Microsoft .NET Framework und Silverlight (das nur von einer der Schwachstellen betroffen ist), die die Ausführung beliebigen Codes erlauben. Die Einstufung ist umfangreich:

• Kritisch für das .NET Framework unter Microsoft Windows 2000, XP, Vista und Windows 7, für Microsoft Silverlight 2 unter Mac OS X und Microsoft Silverlight 2 auf Windows-Clients,
• Wichtig für das Microsoft .NET Framework unter Windows Server 2003, Server 2008 und Server 2008 R2 und
• Moderat für Microsoft Silverlight 2 auf Windows-Servern.

Ein Eintrag im Security Resarch & Defense Blog liefert weitere Informationen.

MS09-062 - GDI+

MS09-062 behandelt 8 Schwachstellen in GDI+, die die Ausführung beliebigen Codes erlauben. Zu betroffenen Systemen und Programmen siehe das Bulletin, die Listen sind zu lang, um sie an dieser Stelle auch nur zusammengefasst wieder zu geben.

Nach der Installation der Updates können einzelne Image-Parser nach Bedarf ein- oder ausgeschaltet werden. Weitere Informationen liefert ein Eintrag im Security Research & Defense Blog.

Zu einigen der Schwachstellen wurden auch von ihren Entdeckern Advisories veröffentlicht: Zwei von iDefense zum Office Drawing Format und zum TIFF-Parsing und eins von der Zero Day Initiative, ebenfalls zum TIFF-Parsing.

Die wichtigen Microsoft-Bulletins

Auch diese Bulletins werden wieder in der Reihenfolge aufgeführt, die Microsoft im 'Security Bulletin Summary' verwendet hat.

MS09-053 - IIS

MS09-053 ist für die bereits bekannten Schwachstellen im FTP-Server des Internet Information Server zuständig, die die Ausführung beliebigen Codes und DoS-Angriffe erlauben. Betroffen ist der IIS 5.0, 5.1 und 6.0 und der FTP Service 6.0 des IIS 7.0.

MS09-056 - CryptoAPI

Zwei vertraulich gemeldete Schwachstellen in der CryptoAPI werden im Bulletin MS09-056 beschrieben. Betroffen sind Windows 2000, XP, Server 2003, Vista, Server 2008 und 7. Die eine Schwachstelle besteht im falschen Auswerten von Zertifikaten mit NULL-Bytes im 'Common Name'-Field (siehe auch die Security-Hinweise vom 1. und 7. Oktober, womit sich auch die Frage nach einem veröffentlichten Exploit erledigt hat), die andere Schwachstelle besteht beim Verarbeiten von Zertifikaten mit präparierten Object Identifiers (OID). Weitere Informationen liefert ein Eintrag im Security Research & Defense Blog.

MS09-057 - Indexing Service

MS09-057 beschreibt eine vertrauliche gemeldete Pufferüberlauf-Schwachstelle im ActiveX-Control des Indexing Service, die die Ausführung beliebigen Codes erlaubt. Die Schwachstelle betrifft Windows 2000 SP4, XP SP2/SP3 und Server 2003 SP2.

MS09-058 - Windows Kernel

Das Bulletin MS09-058 beschreibt drei vertraulich gemeldete Schwachstellen im Windows-Kernel, die lokale Privilegieneskalation und DoS-Angriffe erlauben. Es wird für Windows 2000, XP, Server 2003, Vista und Server 2008 mit Ausnahme von Vista SP2 und Server 2008 SP2 als wichtig eingestuft, für Vista SP2 und Server 2008 SP2 als moderat.

MS09-059 - Local Security Authority Subsystem

MS09-059 beschreibt eine vertraulich gemeldete DoS-Schwachstelle im Local Security Authority Subsystem Service, die durch präparierte NTLM-Authentifizierungsdaten ausgenutzt werden kann. Betroffen sind Windows XP, Server 2003, Vista, Server 2008 und 7.

Adobes Security Bulletin

Adobe hat in seinem Security Advisory insgesamt 29 Schwachstellen in Adobe Reader und Acrobat aufgeführt, von denen eine (ebenfalls in Adobe Reader und Acrobat) bereits seit Freitag bekannt ist und für Angriffe ausgenutzt wird. Die Schwachstellen erlauben das Ausführen beliebigen Codes, DoS-Angriffe, das Umgehen verschiedener Sicherheitsmaßnahmen etc. - bei 29 Schwachstellen ist Platz für das volle Programm an möglichen Angriffen.

Zu einigen der Schwachstellen habe die jeweiligen Entdecker bereits eigene Advisories veröffentlicht: SkyLined, iDefense (zu einer Use After Free und einer Invalid Array Index Schwachstelle) sowie die Zero Day Initiative zum Compact Font Format. Jon Paterson und Dennis Elser beschreiben im Blog der McAfee Avert Labs die Analyse des die am Freitag veröffentlichte Schwachstelle ausnutzenden Schadcodes.

Adobe weist darauf hin, dass der Support für Adobe Reader 7.x und Acrobat 7.x am 28. Dezember endet und dies das letzte planmäßige Update für diese Versionen ist.

Keine Oracle-Patches

Eigentlich wäre am 13. Oktober auch Oracles vierteljährliches 'Critical Patch Update' fällig gewesen. Aufgrund der vom 11. bis 15. Oktober stattfindenden Oracle OpenWorld wurde der Veröffentlichungstermin jedoch auf den nächsten Dienstag, d.h. den 20. Oktober, verschoben.

Bewertung der Schwachstellen

Microsoft hat im Blog des Microsoft Security Response Center (MSRC) eine grafische Übersicht des Exploitability Index und der 'Deployment Priority' veröffentlicht. Demnach ist in den nächsten 30 Tagen mit funktionsfähigen Exploitcode für 7 der 8 als kritisch eingestuften Bulletins zu rechnen. Ein Eintrag in Microsofts Security Research & Defense Blog geht ebenfalls detailliert auf die möglichen Gefahren durch die Schwachstellen ein.

Das Internet Storm Center hat wie immer eine Übersicht über die veröffentlichten Patches erstellt. Darin wird in mehreren Fällen von Microsofts Einstufung nach oben abgewichen: Die Schwachstellen in der CryptoAPI werden ebenso wie die im Indexing Service für Clients als kritisch eingestuft (Microsoft: Wichtig). Da für eine der Schwachstellen in der CryptoAPI bereits Trick-SSL-Zertifikate veröffentlicht wurden und die Schwachstelle im Indexing Service die Ausführung beliebigen Codes z.B. von einer Website aus erlaubt, ist das verständlich. Ähnlich sieht es bei den Schwachstellen im IIS aus, die für Server als kritisch (Microsoft: Wichtig) eingestuft werden, da für beide Exploits veröffentlicht wurden. Ansonsten gibt es die üblichen Abweichungen bei der Einstufung der Schwachstellen auf Servern: Da auf denen eher selten gesurft oder Multimediainhalte abgespielt werden, wurden die entsprechenden Schwachstellen nur als wichtig und nicht wie von Microsoft als kritisch eingestuft.

Fazit

Wie immer gilt: Installieren Sie die Patches so schnell wie möglich. Bei der großen Anzahl an Patches muss man dafür eine Reihenfolge festlegen. Dabei scheint die Aufstellung des ISC praxisnäher als die von Microsoft zu sein. Zuallererst sollte aber auf Rechner, auf denen im Internet gesurft wird, das Update für den Adobe Reader installiert werden. Eine der Schwachstellen darin wird bereits für Angriffe ausgenutzt!

Carsten Eilers

Übersicht der Meldungen auf 'Security aktuell':

• MS09-050: SMBv2
• MS09-050: SMBv2 (aktualisiert)
• MS09-051: Windows Media Runtime
• MS09-052: Windows Media Player
• MS09-054: Internet Explorer
• MS09-055: ActiveX-Controls
• MS09-060: Microsoft Office
• MS09-061: .NET Framework
• MS09-061: Silverlight
• MS09-062; GDI+
• MS09-053: IIS (Codeausführung) (aktualisiert)
• MS09-053: IIS (DoS) (aktualisiert)
• MS09-056: CryptoAPI
• MS09-057: Indexing Service
• MS09-058: Windows Kernel
• MS09-059: Local Security Authority Subsystem
• Adobe Reader (0-Day) (aktualisiert)
• Adobe Reader
• Acrobat (0-Day) (aktualisiert)
• Acrobat