Am Dezember-Patchday hat Microsoft wie angekündigt 3 als kritisch und 3 als wichtig eingestufte Security Bulletins veröffentlicht, mit denen insgesamt 12 Schwachstellen behoben werden, darunter die Ende November veröffentlichte 0-Day-Schwachstelle im Internet Explorer. Von den restlichen 11 Schwachstellen war nur eine weitere vor der Veröffentlichung der Security Bulletins öffentlich bekannt, alle anderen wurden Microsoft vertraulich gemeldet. Außerdem hat Adobe das ebenfalls angekündigte Security Bulletin für den Flash Player und AIR veröffentlicht, mit dem ebenfalls kritische Schwachstellen geschlossen werden.

Außer den Security Bulletins und einem Security Advisory hat Microsoft auch mehrere Updates veröffentlicht, die die 'Extended Protection for Authentication' implementieren. Was es damit auf sich hat, verrät ein Eintrag im Security Research & Defense Blog.

Die kritischen Bulletins...

... in der Reihenfolge, die Microsoft in der Übersicht verwendet:

MS09-071 - Internet Authentication Service

Zwei Schwachstellen wurden im Internet Authentication Service behoben. Eine zwar vertraulich gemeldete, inzwischen aber öffentlich bekannte Schwachstelle beim Verarbeiten von PEAP Authentifizierungs-Requests erlaubt die Ausführung beliebigen Codes unter Windows Vista SP2, Vista x64 Edition SP2 und Server 2008 SP2 für 32-Bit-, x64- und Itanium-basierte Systeme. Die Schwachstelle wird für Windows Server 2008 SP2 für 32-Bit- und x64-basierte Systeme als kritisch eingestuft, für Windows Vista und Server 2008 SP2 für Itanium-basierte Systeme als wichtig.

Eine Schwachstelle beim Verarbeiten von Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAP v2) Requests erlaubt Privilegieneskalation, betroffen sind Windows 2000 SP4, XP SP2/SP3, Server 2003 SP2, Vista samt SP1 und Server 2008 für 32-Bit-, x64- und Itanium-basierte Systeme, die Einstufung schwankt zwischen Wichtig und Moderat.

MS09-074 - Microsoft Project

Eine Schwachstelle in Microsoft Project erlaubt die Ausführung beliebigen Codes, wenn eine präparierte Projekt-Datei geöffnet wird. Die Schwachstelle wird für Microsoft Project 2000 Service Release 1 als kritisch eingestuft, für Microsoft Project 2002 SP1 und Microsoft Office Project 2003 SP3 als wichtig. Die Entdecker der Schwachstelle von Fortinet haben ein eigenes Advisory veröffentlicht.

MS09-072 - Internet Explorer

Vier bisher unbekannte und die bereits seit Ende November bekannte Schwachstelle im Internet Explorer erlauben die Ausführung beliebigen Codes. Die Schwachstellen werden für alle unterstützten Versionen des Internet Explorers (5.01, 6, 6 SP1, 7 und 8) als kritisch eingestuft, sofern sie nicht unter Windows Server 2003 oder 2008 laufen, dort werden sie nur als moderat eingestuft. Für drei der bisher unbekannten Schwachstellen gibt es Advisories der Entdecker von der Zero Day Initiative (ZDI): ZDI-09-086 (XHTML DOM Manipulation Memory Corruption), ZDI-09-087 (CSS Race Condition Code Execution) und ZDI-09-088 (IFrame Attributes Circular Reference Dangling Pointer).

Security Advisory statt Bulletin: Kritische Schwachstellen im Indeo-Codec

Nicht näher beschriebene Schwachstellen im Indeo-Codec von Windows 2000 SP4, XP SP3/SP3 und Server 2003 SP2 erlauben die Ausführung beliebigen Codes, wenn entsprechend präparierte Medien-Inhalte wiedergegeben werden. Microsoft hat ein Update veröffentlich, dass das Laden des Indeo-Codec im Internet Explorer und Windows Media Player verhindert. Außerdem werden andere Programme am Laden des Codecs gehindert, solange sie mit dem Internet verbunden sind. Für zwei der Schwachstellen gibt es Advisories der Entdecker von der Zero Day Initiative (ZDI): ZDI-09-089 (Heap Overflow Vulnerability) und ZDI-09-090 (Stack Overflow Vulnerability). Für eine weitere Schwachstelle gibt es ein Advisory von Fortinet.

Die wichtigen Bulletins...

... in der Reihenfolge, die Microsoft in der Übersicht ebenfalls verwendet:

MS09-069 - Local Security Authority Subsystem Service

Eine Schwachstelle im Local Security Authority Subsystem Service (LSASS) von Windows 2000 SP4, XP SP2/SP3 und Server 2003 SP2 erlaubt DoS-Angriffe durch authentifizierte Benutzer.

MS09-070 - Active Directory Federation Services

Zwei Schwachstellen im Active Directory Federation Services (ADFS) von Windows 2003 SP2 und Server 2008 samt SP2 erlauben die Ausführung beliebigen Codes durch authentifizierte Benutzer und Spoofing-Angriffe. Ein Knowledgebase-Artikel liefert weitere Informationen.

MS09-073 - WordPad und Office Text-Converter

Eine Schwachstelle beim Verarbeiten von Word-97-Dateien durch WordPad und die Microsoft Office Text-Converter erlaubt die Ausführung beliebigen Codes. Betroffen sind Windows 2000 SP4, XP SP2/SP3 und Server 2003 SP2, Microsoft Office XP SP3 und 2003 SP3 sowie Works 8.5 und das Microsoft Office Converter Pack, für alle wird das Update als wichtig eingestuft.

Bewertung der Schwachstellen

Microsoft hat im Blog des Microsoft Security Response Center (MSRC) eine grafische Übersicht des Exploitability Index veröffentlicht. Demnach ist bald mit funktionsfähigem Exploitcode für die Schwachstellen in Internet Explorer und Active Directory Federation Services zu rechnen. Da die Codeausführungs-Schwachstelle in den Active Directory Federation Services nur von authentifizierten Benutzern ausgenutzt werden kann, wird sie jedoch nur als wichtig eingestuft, die als kritisch eingestuften Schwachstellen im Internet Explorer können dagegen ohne Authentifizierung z.B. im Rahmen von Drive-by-Infektionen ausgenutzt werden.

Für die kritischen Schwachstellen im Internet Authentication Service und in Microsoft Project wird der Exploitability Index mit 2 angegeben, demnach wird in den nächsten 30 Tagen nicht mit zuverlässigen Exploit-Code gerechnet. Welche Patches zuerst installiert werden sollten, verrät auch ein Eintrag im Security Research & Defense Blog. Die Schwachstellen im Indeo-Codec werden darin nur am Rande erwähnt, was verständlich ist, da sie ja nicht behoben, sondern nur versteckt wurden: Zwar verhindert das Update, dass der Codec im Internet Explorer oder Media Player geladen wird, in anderen Programmen kann er jedoch sehr wohl noch zum Einsatz kommen, sofern die nicht mit dem Internet verbunden sind. Eine z.B. per E-Mail zugeschickte oder von einem Webserver heruntergeladene Datei kann also sehr wohl noch zum Ausführen eingeschleusten Codes führen, wenn sie in einem Programm geöffnet wird, dass den Codec lädt.

Das Internet Storm Center hat wie immer eine Übersicht über die veröffentlichten Patches erstellt. Die Updates für den Internet Explorer werden darin zu Recht mit "PATCH NOW" markiert, da sie sich für Drive-by-Infektionen nutzen lassen und funktionsfähiger Exploitcode sehr wahrscheinlich ist. Entgegen Microsofts Einstufung werden die Schwachstellen in den Wordpad und Office Text Convertern als kritisch eingestuft. Präparierte Word-Dokumente wurden immer wieder für Angriffe verwendet und es spricht nur eines dagegen, dass das in diesem Fall auch passiert: Der Exploitability Index von 2, dem zu Folge in den nächsten 30 Tagen kein zuverlässig funktionierender Exploit-Code erwartet wird. Darauf sollte man sich aber besser nicht verlassen.

Adobe - Flash Player und AIR

Adobe hat Updates für mindestens 7 als insgesamt kritisch eingestufte Schwachstellen im Flash Player und AIR veröffentlicht, die alle bis auf eine die Ausführung beliebigen Codes erlauben. Die Ausnahme ist eine Schwachstelle im ActiveX-Control, die den Zugriff auf lokale Dateinamen erlaubt und damit zur Preisgabe sensitiver Informationen führen kann.

Fazit

Wie immer gilt: Installieren Sie die Patches so schnell wie möglich. Besonders kritisch sind neben den Patches für den Internet Explorer auch die für Adobes Flash Player, der in der Vergangenheit ein bevorzugtes Ziel für Drive-by-Infektionen war. Ansonsten kann man sich mit einer Ausnahme an Microsofts Empfehlungen halten: Wer sicher ist, seinen Klickfinger immer und unter allen Umständen unter Kontrolle zu haben, kann sich bei den Updates für die Word-97-Konverter für Wordpad und Office wie von Microsoft angegeben Zeit lassen, wer auf Nummer sicher gehen will, installiert die ebenfalls zügig.

Carsten Eilers

Übersicht der Meldungen auf 'Security aktuell':

• MS09-071: Internet Authentication Service
• MS09-074: Microsoft Project
• MS09-072: Internet Explorer
• MS09-072: Internet Explorer (aktualisiert)
• ohne: Indeo-Codec
• MS09-069: Local Security Authority Subsystem Service
• MS09-070: Active Directory Federation Services
• MS09-073: Windows (WordPad Text-Converter)
• MS09-073: Office Text-Converter
• Adobe: Flash Player
• Adobe: AIR