Am Dienstag hat Microsoft wie angekündigt die nach dem Streichen in der letzten Woche übrig gebliebenen vier Security-Bulletins veröffentlicht (Übersicht auf deutsch und englisch). Alle Security Bulletins beheben Schwachstellen, die aus der Ferne die Ausführung beliebigen Codes mit den Rechten des jeweils betroffenen Benutzers und teilweise Denial-of-Service-Angriffe erlauben.

• MS07-001 wird von Microsoft als 'Important'/'Wichtig' eingestuft. Eine Schwachstelle in der Brasilianisch-Portugiesischen Grammatik-Prüfung von Office 2003 erlaubt die Ausführung beliebigen Codes.
  Dies ist eine neue Schwachstelle, das Risiko dürfte für Anwender in Deutschland aber ziemlich gering sein. Ein potenzielles Opfer müsste die Brasilianisch-Portugiesische Grammatik-Prüfung installiert haben und dann einen entsprechend präparierten untergeschobenen Text damit prüfen. Texte aus nicht vertrauenswürdigen Quellen sollte man sicherheitshalber ja sowieso nicht öffnen. In diesem Fall lautet der Rat dann also: "Wenn man schon Text aus nicht vertrauenswürdigen Quellen öffnet, sollte man wenigstens auf die Grammatikprüfung verzichten".
• MS07-002 stuft Microsoft als 'Critical'/'Kritisch' ein. Mehrere Schwachstellen in Excel erlauben die Ausführung beliebigen Codes durch präparierte XLS-Dateien.
  Hierbei handelt es sich um neue Schwachstellen, die sich wohl alle als Einfallstor für einen Schädling eignen. Nachdem letztes Jahr ein paar Mal Powerpoint und Word dran waren, sollte man jetzt also um alle nicht absolut vertrauenswürdigen Excel-Dateien einen Bogen machen.
• Auch MS07-003 stuft Microsoft als kritisch ein. Mehrere Schwachstellen in Outlook erlauben die Ausführung beliebigen Codes und Denial-of-Service-Angriffe: Eine Schwachstelle beim Parsen von E-Mail-Headern kann zum Auslösen eines Denial-of-Services ausgenutzt werden. Eine Speicherkorrumpierung beim Parsen von iCal-Requests mit präparierten VEVENT-Einträgen erlaubt die Ausführung beliebigen Codes, ebenso wie eine Speicherkorrumpierung beim Parsen von präparierten Office Saved Searches (.oss) Dateien.
  Auch dies sind neue Schwachstellen, zum Teil öffentlich gemeldet, mit dem Potenzial, Unheil anzurichten. Zumindest die iCal-Request-Schwachstelle sieht so aus, als hätte sie das Potenzial, zur Wurmplage zu führen. Bei den .oss-Dateien ist das Risiko wohl geringer, sofern die Benutzer nicht alle einen nervösen Klickfinger haben. Und der Denial-of-Service ist kein großes Problem: Außer um ein paar Leute zu ärgern, zu nichts zu gebrauchen.
• Ebenfalls als kritisch wird MS07-004 eingestuft: Eine Pufferüberlauf-Schwachstelle in der Implementierung der Vector Markup Language (VML) erlaubt die Ausführung beliebigen Codes durch z.B. präparierte Webseiten oder E-Mails.
  Diese Schwachstelle sieht auf den ersten Blick für diesen Patchday am übelsten aus: Leute auf Webseiten zu locken und ihnen dann einen Trojaner oder Bot unterzujubeln, ist bei den bösen Buben ja sehr beliebt - und genau das funktioniert hiermit. Ebenso das Schicken entsprechender E-Mails. Und dann ist auch noch XP SP2 betroffen, wohl so ziemlich das verbreitetste System. Mein Tipp lautete: Diese Schwachstelle wird als erste ausgenutzt. Und tatsächlich wurde von Immunity noch am 9.1. ein funktionierender Exploit für diese Schwachstelle gemeldet.
  Übrigens enthält Microsofts Bulletin in diesem Punkt m.E. sich widersprechende Angaben:
  

  War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt? Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch einen privaten Bericht.

  Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde? Ja. Zum Zeitpunkt der Veröffentlichung dieses Security Bulletins hatte Microsoft Informationen erhalten, dass diese Sicherheitsanfälligkeit ausgenutzt wurde.

  Das ist doch ein Widerspruch: Entweder die Schachstelle war nicht bekannt, dann kann sie auch nicht ausgenutzt worden sein. Oder sie wurde ausgenutzt, dann war sie aber auch zumindest denen, die sie ausnutzen, bekannt. Und ich verstehe 'öffentlich bekannt' als Gegenteil von 'nur dem Entdecker und Microsoft bekannt'. Über die Größe der Öffentlichkeit kann man natürlich streiten. Aber wenn Dritte von der Schwachstelle wissen (und um sie auszunutzen, müssen sie das ja), würde ich schon von einer bekannten Schwachstelle sprechen.

Nach dem Patchday ist vor dem Patchday
Wie üblich bleiben nach einem Patchday immer ein paar noch nicht gestopfte Lücken übrig bzw. es kommen gleich wieder neue hinzu. Diesmal sind z.B. die im Dezember entdeckten kritischen Lücken in Word weiter offen. Ebenso ein paar andere in verschiedenen Programmen bzw. in Windows selbst. Beim Internet Storm Center gibt es eine schöne Übersicht: The missing Microsoft patches. Noch schöner wäre die allerdings mit weniger Farben oder wenigstens weniger rot und orange. :-)

Und die Übersicht ist bei weitem nicht vollständig. Nicht enthalten ist z.B. die bereits im August 2006 veröffentlichte Denial-of-Service-Schwachstelle im Windows Explorer, die durch WMF-Dateien ausgenutzt werden kann. Die wurde letzte Woche 'wiederentdeckt', jedenfalls wurde ein entsprechender Exploit veröffentlicht.

Microsoft, Vista und die NSA
Große Überschrift, nichts dahinter. Da der Text schon lang genug geworden ist, werde ich dazu nächste Woche etwas schreiben. Vorerst nur soviel: Nichts Genaues weiß man nicht. Schon aus Prinzip gefällt es mir nicht, wenn ein Geheimdienst seine Finger in Programmen hat, mit denen dann vertrauliche Daten verarbeitet werden. Andererseits: Was dem Bundesinnenminister recht ist, sollte einem Geheimdienst aus dem Land des Herstellers doch wohl auch zugestanden werden, oder? Mehr vielleicht in der nächsten Woche. Dann gibt es hoffentlich auch mehr Informationen. Oder eine größere Beule im Teppich, unter den das Ganze gekehrt wurde.

Carsten Eilers