Am Dienstag war der letzte Microsoft-Patchday für dieses Jahr, und Microsoft hat noch mal gründlich aufgeräumt: Mit 7 Security-Bulletins wurden 11 Schwachstellen geschlossen, darunter 8 kritische. Lediglich eine Bulletin betraf eine bereits seit längerem bekannte Schwachstelle, alle anderen schlossen zuvor nicht bekannte Lücken. Das hat sich noch einmal gelohnt.

Als kritisch stuft Microsoft die folgenden drei Security Bulletins ein, die alle bisher nicht öffentlich bekannte Schwachstellen betreffen:

• MS07-064: Zwei Schwachstellen in DirectX beim Verarbeiten von SAMI- (Synchronized Accessible Media Interchange) sowie WAV- und AVI-Dateien erlauben die Ausführung beliebigen Codes durch entsprechend präparierte Dateien oder Streams. Betroffen sind Windows 2000, XP, Server 2003 und Vista.
  iDefense hat ein eigenes Advisory veröffentlicht: 'Microsoft DirectX 7 and 8 DirectShow Stack Buffer Overflow Vulnerability'.
• MS07-068: Eine Schwachstelle im Windows Media File Format erlaubt die Ausführung beliebigen Codes, wenn eine präparierte Datei im Advanced Systems Format (ASF) mit der Windows Media Format Runtime geöffnet wird.
  IBMs X-Force hat ein eigenes Advisory veröffentlicht: 'Multiple (4) Microsoft Windows Media Player .ASF Remote Code Execution Vulnerabilities'.
• MS07-069: Vier Schwachstellen im Internet Explorer erlauben die Ausführung beliebigen Codes beim Besuch einer präparierten Webseite. Die Schwachstellen treten beim Verarbeiten nicht korrekt initialisierter bzw. gelöschter Objekte und bei der Anzeige einer HTML-Seite mit unerwarteten Methodenaufrufen für HTML-Objekte auf. Die vierte Schwachstelle wird laut Microsoft bereits für Angriffe ausgenutzt.
  Die Entdecker der Schwachstellen haben eigene Advisories veröffentlicht:
  • ZDI-07-073: Microsoft Internet Explorer setExpression Code Execution Vulnerability
  • ZDI-07-074: Microsoft Internet Explorer Node Manipulation Memory Corruption Vulnerability
  • ZDI-07-075: Microsoft Internet Explorer Element Tags Vulnerability
  • iDefense Security Advisory 12.11.07: Microsoft Internet Explorer JavaScript setExpression Heap Corruption Vulnerability

Damit wird das Filme ansehen und Webseiten besuchen ja deutlich sicherer. Übrigens hat auch Apple letzte Woche mehrere Schwachstellen in QuickTime behoben: Eine schon länger bekannte Schwachstelle beim Verarbeiten von RTSP-Responses und mehrere bisher unbekannte Schwachstellen beim Verarbeiten von QTL-Dateien sowie im Flash Media Handler erlaubten die Ausführung beliebigen Codes. Die RTSP-Schwachstelle wurde bereits für Angriffe ausgenutzt.

Als wichtig stuft Microsoft folgende vier Security Bulletins ein:

• MS07-063: Eine bisher nicht veröffentlichte Schwachstelle in SMB Version 2 erlaubt die Ausführung beliebigen Codes. Ursache ist ein Fehler bei der Signaturberechnung, durch die ein Angreifer SMB-Pakete manipulieren und danach die Signatur anpassen kann. Betroffen ist nur Windows Vista.
• MS07-065: Eine vorher nicht öffentlich bekannte Schwachstelle im Message Queuing Service (MSMQ) erlaubt authentifizierten Benutzern auf Systemen mit Windows 2000 Server die Ausführung beliebigen Codes aus der Ferne und auf Systemen mit Windows 2000 Professional und XP das Erlangen höherer Benutzerrechte.
  Die Zero Day Initiative (ZDI) hat ein eigenes Advisory veröffentlicht: 'ZDI-07-076: Microsoft Windows Message Queuing Service Stack Overflow Vulnerability'.
• MS07-066: Eine zuvor nicht veröffentlichte Schwachstelle im Windows Advanced Local Procedure Call (ALPC) im Kernel von Windows Vista erlaubt lokalen Benutzern das Erlangen höherer Benutzerrechte.
• MS07-067: Eine bereits seit Oktober bekannte Schwachstelle im Macromedia Security Driver secdrv.sys erlaubt lokalen Benutzern die Ausführung beliebigen Codes mit SYSTEM-Rechten. Macromedia hatte bereits im November einen eigenen Patch veröffentlicht, Microsoft zieht nun nach. Betroffen sind nur Windows XP und Server 2003. Die Schwachstelle wird bereits seit ihrer Entdeckung ausgenutzt.

Das Internet Storm Center hat wieder eine eigene Übersicht über die veröffentlichten Patches erstellt. Auffallend: Das laut Microsoft 'wichtige' Bulletin MS07-067, das die schon länger bekannte Schwachstelle im Macromedia Security Driver betrifft, wird vom ISC als 'kritisch' für Clients eingestuft. Vermutlich, weil die Schwachstelle seit längerem ausgenutzt wird. Und MS07-069, das Bulletin für den Internet Explorer, wird noch gefährlicher als 'kritisch' eingestuft, es wurde mit 'PATCH NOW' markiert. Dem ist wohl nichts hinzuzufügen.

'Trojaner 2.0' in Sicht

Der Security-Gateway-Hersteller Finjan hat seinen 'Web Security Trends Report (Q4 2007)' veröffentlicht.

Darin werden u.a. 'Trojaner 2.0' beschrieben: Trojaner, die die Möglichkeiten des Web 2.0 für ihre Zwecke nutzen. Z.B werden für die Fernsteuerung von Botnets normale Webseiten verwendet, über die die Steuerbefehle dann z.B. über RSS-Feed verteilt werden. Die Rückmeldungen der Bots erfolgen dann über einen anderen Server, sodass kein Zusammenhang erkennbar ist. Damit werden die üblichen Erkennungsroutinen von Schutzprogrammen unterlaufen, die in den ausgetauschten Daten legitimen Web-Traffic sehen. Wie so oft bei Web-2.0-Sachen fragt man sich da, wieso da früher keiner drauf gekommen ist. Eigentlich ist dieser Ansatz doch naheliegend.

Eine weitere, oft unterschätzte Bedrohung sind laut Finjan fehlerhafte oder bösartige Widgets und Gadgets, durch die Benutzer Angriffen über eigentlich vertrauenswürdige Webserver ausgesetzt sind. Der Einsatz dieser kleinen Helferlein wird zurzeit von den meisten Security Policies nicht berücksichtigt, sodass weder eine Kontrolle ihres Einsatzes noch Maßnahmen gegen schädliche Funktionen stattfinden, schreibt Finjan. Stimmt eigentlich, so explizit "Diese Widgets sind erlaubt, jene verboten" oder Ähnliches steht da wohl nirgends. Aber eigentlich könnte man die ja als spezielle Form von Browser-Plug-ins betrachten, und dafür gibt es dann ja (hoffentlich) Regelungen.

Ausblick

Nächsten Montag ist Heiligabend, daher fällt der "Standpunkt Sicherheit" in der kommenden Woche aus. "About Security" erscheint wie auch in den Vorjahren als Weihnachtsspecial, diesmal mit einer Übersicht über nützliche Live-CDs.

Ich wünsche allen Lesern ein frohes Weihnachtsfest!

Carsten Eilers