Am November-Patchday hat Microsoft wie angekündigt 3 als kritisch und 3 als wichtig eingestufte Security Bulletins veröffentlicht, mit denen insgesamt 15 Schwachstellen behoben werden, davon allein 8 in Excel. Alle Schwachstellen wurden Microsoft vertraulich gemeldet, lediglich eine davon wurde danach noch anderweitig veröffentlicht.

Die kritischen Bulletins

MS09-063 - 'Web Services on Devices API'

MS09-063 beschreibt eine Schwachstelle im 'Web Services on Devices Application Programming Interface' (WSDAPI), die die Ausführung beliebigen Codes durch präparierte WSD-Nachrichten erlaubt. Betroffen sind Windows Vista samt SP1 und SP2 sowie Server 2008 und Server 2008 SP2. Ein Eintrag im Security Research & Defense Blog liefert weitere Informationen.

MS09-064 - License Logging Server

MS09-064 behandelt eine Pufferüberlaufschwachstelle im License Logging Server von Windows 2000 SP4, die die Ausführung beliebigen Codes durch präparierter RPC-Pakete erlaubt. Ein Eintrag im Security Research & Defense Blog liefert weitere Informationen. TippingPoint hat ein eigenes Advisory zu der Schwachstelle veröffentlicht.

MS09-065 - Windows-Kernel

MS09-065 behandelt mehrere Schwachstellen im Windows-Kernel, die insgesamt als kritisch eingestuft werden. Eine der Schwachstellen erlaubt die Ausführung beliebigen Codes, wenn ein präparierter Embedded OpenType (EOT) Font verwendet wird. Ein Eintrag im Security Research & Defense Blog liefert weitere Informationen zu dieser Schwachstelle, von der Windows 2000 SP4, XP SP2/SP3 und Server 2003 SP2 betroffen sind. Von den anderen Schwachstellen, die schlimmstenfalls Privilegieneskalation erlauben, sind auch Windows Vista samt SP1/SP2 und Server 2008 samt SP2 betroffen.

Die EOT-Schwachstelle wurde ebenso wie alle anderen an diesem Patchday veröffentlichten Schwachstellen vertraulich an Microsoft gemeldet, später aber von einem Dritten veröffentlicht. Angriffe über diese Schwachstelle sind jedoch, wie bei allen anderen Schwachstellen, bisher nicht bekannt.

Die wichtigen Bulletins

MS09-066 - Active Directory

MS09-066 behandelt eine DoS-Schwachstelle im Active Directory Directory Service, Active Directory Application Mode (ADAM) und Active Directory Lightweight Directory Service (AD LDS). Betroffen sind Windows 2000 Server SP4, XP SP2/SP3, Server 2003 SP2, Server 2008 samt SP2.

MS09-067 - Excel

MS09-067 beschreibt acht Schwachstellen in Excel, die die Ausführung beliebigen Codes durch präparierte Excel-Dateien erlauben. Betroffen sind Excel 2002, 2003, 2007, Office 2004 for Mac und Office 2008 for Mac, außerdem der Open XML File Format Converter for Mac, der Office Excel Viewer und das Office Compatibility Pack. iDefense und die Zero Day Initiative (ZDI) (ZDI-09-082, ZDI-09-083) haben eigene Advisories zu drei der Schwachstellen veröffentlicht.

MS09-068 - Word

MS09-068 beschreibt eine Schwachstelle in Word, die die Ausführung beliebigen Codes durch eine präparierte Word-Datei erlaubt. Betroffen sind Word 2002, 2003, Office 2004 for Mac und Office 2008 for Mac, der Open XML File Format Converter for Mac und der Office Word Viewer. iDefense hat ein eigenes Advisory zu der Schwachstelle veröffentlicht.

Bewertung der Schwachstellen

Microsoft hat im Blog des Microsoft Security Response Center (MSRC) eine grafische Übersicht des Exploitability Index veröffentlicht. Demnach ist bald mit funktionsfähigem Exploitcode für zwei der Schwachstellen im Windows-Kernel sowie den Schwachstellen in Excel und Word zu rechnen. In einer weiteren Übersicht wird die 'Deployment Priority' aufgeführt. Dort stehen die Patches für den Windows-Kernel an erster Stelle, da die EOT-Schwachstelle z.B. über präparierte Websites und damit im Rahmen von Drive-by-Infektionen ausgenutzt werden kann. Danach folgen die Patches für die Web Services on Devices API und den License Logging Server, Excel und Word sowie zum Schluss die DoS-Schwachstelle in Active Directory, für die kein funktionsfähiger Exploitcode erwartet wird.

Das Internet Storm Center hat wie immer eine Übersicht über die veröffentlichten Patches erstellt. Darin wird in zwei Fällen von Microsofts Einstufung nach oben abgewichen: Die Schwachstellen in Excel und Word werden vom ISC als kritisch für Clients eingestuft. Das ist verständlich, da nur minimales Social-Engineering nötig ist, um einen Benutzer zum Öffnen einer präparierten Datei zu bewegen. Microsoft hält das aber für so unwahrscheinlich, dass die Schwachstellen nur als wichtig eingestuft werden.

Fazit

Wie immer gilt: Installieren Sie die Patches so schnell wie möglich. Wer noch Windows 2000 einsetzt, sollte mal einen Blick auf die aktualisierten Bulletins MS09-045 und MS09-051 werfen: MS09-045 betrifft nun auch JScript 5.7, und zu MS09-051 wurde ein Update des Audio Compression Manager veröffentlicht.

Mac-Nutzer können diesmal nicht frohlocken: Zum einen betreffen die Microsoft-Bulletins zu Excel und Word auch Microsoft Office für den Mac, zum anderen hat Apple gestern auch zugeschlagen und mal eben 58 Schwachstellen auf einen Streich behoben - darunter mehrere kritische, die die Ausführung beliebigen Codes erlauben.

Carsten Eilers

Übersicht der Meldungen auf 'Security aktuell':

• MS09-063 - 'Web Services on Devices API'
• MS09-064 - License Logging Server
• MS09-065 - Windows-Kernel
• MS09-066 - Active Directory
• MS09-067 - Excel
• MS09-068 - Word
• Mac OS X