Am Februar-Patchday hat Microsoft wie angekündigt 13 Security Bulletins (5 kritische, 7 wichtige, 1 moderates) veröffentlicht, mit denen insgesamt 26 Schwachstellen behoben werden. Nur eine davon, die im Januar bekannt gewordene Schwachstelle im #GP Trap Handler, war zuvor öffentlich bekannt.

Außer den Security Bulletins wurde auch ein Security Advisory veröffentlicht, mit dem Workarounds für die SSL/TLS-Renegoitation-Schwachstelle bereitgestellt werden. Ein Eintrag im Security Research & Defense Blog liefert weitere Informationen zu den Auswirkungen der Schwachstelle.

Die kritischen Bulletins ...

... in der Reihenfolge, die Microsoft in der Übersicht verwendet:

MS10-006 - SMB Client

Eine Schwachstelle im SMB Client von Windows 2000, XP und Server 2003 erlaubt die Ausführung beliebigen Codes. Um die Schwachstelle ausnutzen zu können, muss der Angreifer das Opfer zur Verbindung mit einem bösartigen SMB Server bewegen.

Eine weitere Schwachstelle im SMB Client erlaubt unter Windows Vista und Server 2008 lokalen Benutzer Privilegieneskalation und unter Windows 7 und Server 2008 R2 entfernten Angreifern die Ausführung beliebigen Codes. Um die Schwachstellen zur Ausführung von Code ausnutzen zu können, muss der Angreifer auch hier das Opfer zur Verbindung mit einem bösartigen SMB Server bewegen.

Das Update wird für Windows 2000, XP, Server 2003, 7 und Server 2008 R2 als kritisch, für Windows Vista und Server 2008 R2 als wichtig eingestuft. Im Security Research & Defense Blog gibt es weiterführende Informationen.

MS10-007 - Shell Handler

Eine als kritisch eingestufte Schwachstelle im Shell Handler von Windows 2000, XP und Server 2003 erlaubt die Ausführung beliebigen Codes, wenn z.B. ein Webbrowser präparierte Daten über den Shell Handler an die ShellExecute-API-Funktion weitergibt.

Im Security Research & Defense Blog gibt es zusätzliche Informationen und Empfehlungen für Entwickler, und die Zero Day Initiative (ZDI) hat ein eigenes Advisory zu der Schwachstelle veröffentlicht.

MS10-008 - ActiveX Controls

Eine Schwachstelle im Data Analyzer ActiveX Control erlaubt die Ausführung beliebigen Codes. Die Schwachstelle wird behoben, indem für das ActiveX-Control das Killbit gesetzt wird.

Das Update wird für Windows 2000 und XP als kritisch eingestuft, für Windows Vista und 7 als wichtig, für Windows Server 2003 als moderat und für Windows Server 2008 und Server 2008 R2 als niedrig.

Außerdem werden mit dem Update Killbits für verschiedene ActiveX-Controls von Drittanbietern gesetzt: Für Symantec WinFax Pro 10.3, Google Desktop Gadget v5.8, Facebook Photo Updater 5.5.8 und PandaActiveScan Installer 2.0.

MS10-009 - TCP/IP

Vier Schwachstellen befinden sich in der TCP/IP-Implementierung von Windows Vista und Server 2008. Drei der Schwachstellen erlauben die Ausführung beliebigen Codes und werden als kritisch eingestuft, die vierte Schwachstelle erlaubt DoS-Angriffe und wird als wichtig eingestuft.

MS10-013 - DirectShow

Eine Schwachstelle in DirectShow erlaubt die Ausführung beliebigen Codes durch präparierte AVI-Dateien. Das Update wird für alle Windows-Versionen mit Ausnahme der Itanium-basierten Versionen von Windows Server 2003, Server 2008 und Server 2008 R2 als kritisch eingestuft. Für die Itanium-basierten Versionen ist die Einstufung "wichtig".

Die Zero Day Initiative hat ein eigenes Advisory zu der Schwachstelle veröffentlicht.

Die wichtigen Security Bulletins ...

... wieder in der Reihenfolge aus Microsofts Übersicht:

MS10-003 - Microsoft Office

Eine Schwachstelle in Microsoft Office XP SP3 und 2004 for Mac erlaubt die Ausführung beliebigen Codes, wenn eine entsprechend präparierte Excel-Datei geöffnet wird. Core Security hat ein eigenes Advisory zu der Schwachstelle veröffentlicht.

MS10-004 - PowerPoint

Sechs Schwachstellen, die alle die Ausführung beliebigen Codes erlauben, wurden in PowerPoint gefunden. Die Updates werden für alle betroffenen Version von Microsoft Office (XP SP3, 2003 SP3 und 2004 for Mac) als wichtig eingestuft.

Secunia, die Zero Day Initiative und die TippingPoint DVLabs haben für je eine der Schwachstellen eigene Advisories veröffentlicht.

MS10-010 - Hyper-V

Eine Schwachstelle in Hyper-V von Windows Server 2008 und Server 2008 R2 erlaubt DoS-Angriffe durch authentifizierte Benutzer einer virtuellen Maschine.

MS10-011 - Client/Server Run-time Subsystem (CSRSS)

Eine Schwachstelle beim Beenden von Benutzerprozessen beim Ausloggen des Benutzers durch das Windows Client/Server Run-time Subsystem (CSRSS) von Windows 2000, XP und Server 2003 erlaubt authentifizierten Benutzern, die ein präpariertes Programm starten, Privilegieneskalation.

MS10-012 - SMB Server

Vier Schwachstellen im SMB Server erlauben die Ausführung beliebigen Codes, das Umgehen der Authentifizierung, DoS-Angriffe und Privilegieneskalation. Die Updates werden für alle Windows-Versionen als wichtig eingestuft. Im Security Research & Defense Blog gibt es weiterführende Informationen.

MS10-014 - Kerberos

Eine Schwachstelle in der Kerberos-Implementierung in Windows 2000 Server, Server 2003 und Server 2008 erlaubt DoS-Angriffe. Um die Schwachstelle auszunutzen, muss ein authentifizierter Benutzer einer Nicht-Windows Kerberos-Realm, der vertraut wird, einen präparierten Ticket Renewal Request an den Server senden.

MS10-015 - Windows Kernel

Eine vertraulich gemeldete Schwachstelle im Windows-Kernel sowie die bereits seit Januar bekannte Schwachstelle im #GP Trap Handler erlauben lokale Privilegieneskalation. Die Updates werden für Windows 2000, XP, Server 2003, Vista, Server 2008 und Windows 7 für 32-Bit-Systeme als Wichtig eingestuft.

Das moderate Bulletin: MS10-005 - Microsoft Paint

Eine Schwachstelle in Microsoft Paint erlaubt die Ausführung beliebigen Codes durch präparierte JPEG-Dateien. Betroffen sind Windows 2000, XP und Server 2003.

Bewertung der Schwachstellen

Ein Eintrag im Blog des Microsoft Security Response Center erklärt, welche Updates aus Microsofts Sicht besonders dringend installiert werden sollten. Das sind die Updates für die als kritisch eingestuften Schwachstellen im SMB-Client (MS10-006), im Shell Handler (MS10-007), den ActiveX-Controls (MS10-008) und DirectShow (MS10-013) sowie für die als wichtig eingestuften Privilegieneskalations-Schwachstellen im Kernel (MS10-015), da für eine davon bereits ein Exploit veröffentlicht wurde.

Ein Eintrag in Microsofts Security Research & Defense Blog erklärt die Gefährdung durch die Schwachstellen. Besonders auffallend ist dabei die Schwachstelle in Microsoft Paint: Zwar wird in den nächsten 30 Tagen mit funktionsfähigen Exploit-Code gerechnet, aber um den einzuschleusen, muss der Angreifer einen Benutzer dazu bewegen, eine JPEG-Datei zu speichern und dann manuell mit Paint zu öffnen, da es keine Zuordnung von JPEG-Dateien zu Paint gibt.

Die übliche Übersicht über die Security Bulletins im Handler's Diary des ISC weicht in einigen Fällen vom Microsofts Einstufung ab: Die von Microsoft als wichtig eingestuften Bulletins für Microsoft Office und Powerpoint werden vom ISC als für Clients kritisch eingestuft, ebenso die Schwachstelle in Paint, die Microsoft für moderat hält. Die Schwachstellen im SMB Server, von Microsoft als wichtig eingestuft, hält das ISC für kritisch für Server.

Fazit

Wie immer gilt: Installieren Sie die Updates so schnell wie möglich. Bei der Einstufung der Dringlichkeit sollte Sie sich ggf. nach der Einschätzung des ISC richten, da die nach Client und Server unterscheidet. Nicht vergessen werden darf der Workaround für die SSL/TLS-Renegoitation-Schwachstelle. Da der nur als Security Advisory und nicht als Security Bulletin veröffentlicht wurde, kann er leicht übersehen werden.

Carsten Eilers

Übersicht der Meldungen auf 'Security aktuell':

• MS10-003: Schwachstelle in Microsoft Office
• MS10-004: Schwachstellen in PowerPoint
• MS10-005: Schwachstelle in Microsoft Paint
• MS10-006: Schwachstellen im SMB Client
• MS10-007: Schwachstelle im Shell Handler
• MS10-008: Schwachstelle im Data Analyzer ActiveX Control
• MS10-009: Schwachstellen in der TCP/IP-Implementierung
• MS10-010: Schwachstelle in Hyper-V
• MS10-011: Schwachstellen im Client/Server Run-time Subsystem (CSRSS)
• MS10-012: Schwachstellen im SMB Server
• MS10-013: Schwachstelle in DirectShow
• MS10-014: Schwachstelle in der Kerberos-Implementierung
• MS10-015: Schwachstelle im Windows-Kernel
• MS10-015: Schwachstelle im #GP Trap Handler (aktualisiert)
• SSL/TLS-Renegoitation-Schwachstelle