Channel Security

Am Mai-Patchday hat Microsoft wie angekündigt ein als kritisch eingestuftes Security-Bulletin zu PowerPoint veröffentlicht: Das Bulletin MS09-017 behebt auf einen Schlag 14 Schwachstellen, die alle die Ausführung beliebigen Codes erlauben. Zum Vergleich: Am April-Patchday waren es 23 Schwachstellen, aber dafür wurden 8 Bulletins benötigt.

Kritisch für PowerPoint 2000 SP3

Das Bulletin wird für PowerPoint 2000 SP3 als kritisch eingestuft, für PowerPoint 2002 SP3, 2003 SP3, 2007 SP1/SP2, Office 2004 for Mac, Office 2008 for Mac, den Open XML File Format Converter for Mac, den PowerPoint Viewer 2003 und 2007 SP1/SP2, das 'Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats' SP1/SP2 sowie Works 8.5 und 9.0 als wichtig.

Bis auf eine Schwachstelle waren die Schwachstellen bisher nicht öffentlich bekannt, bei der bereits öffentlich bekannten Schwachstelle handelt es sich um die Anfang April entdeckte 0-Day-Schwachstelle, die bereits für Angriffe ausgenutzt wird.

Patches nur für Windows

Patches stehen nur für die Windows-Versionen von PowerPoint zur Verfügung. Patches für die Mac-Version und Works sind in Vorbereitung und werden an einem zukünftigen Patchday veröffentlicht. Erläuterungen dazu gibt es sowohl im Blog des Microsoft Security Response Center als auch im Security Research & Defense Blog.

Berechtigte Kritik

Ein Eintrag im Handler's Diary des ISC beschäftigt sich mit Microsofts Verhalten beim Veröffentlichen des Bulletins: Microsoft möchte vor der Öffentlichkeit über neu entdeckte Schwachstellen informiert werden, um Patches bereit zu stellen, bevor die Schwachstellen bekannt und ausgenutzt werden. Das ist verständlich. Dann aber selbst drei Schwachstellen zu veröffentlichen, bevor Patches für die Mac-Version zur Verfügung stehen, ist zumindest unfein.

Weiterführende Informationen

Auch die Entdecker der Schwachstellen haben bereits eigene Advisories zu den von ihnen entdeckten Schwachstellen veröffentlicht:

1. Secunia Research: Microsoft PowerPoint Atom Parsing Buffer Overflows
2. Zero Day Initiative: ZDI-09-019: Microsoft Office PowerPoint OutlineTextRefAtom Parsing Memory Corruption Vulnerability
3. Zero Day Initiative: ZDI-09-020: Microsoft Office PowerPoint Notes Container Heap Overflow Vulnerability
4. iDefense: Microsoft PowerPoint 4.2 Conversion Filter Stack Buffer Overflow Vulnerability
5. iDefense: Microsoft PowerPoint 4.2 Conversion Filter Heap Corruption Vulnerability
6. iDefense: Microsoft PowerPoint 4.2 Conversion Filter Stack Overflow
7. iDefense: Microsoft PowerPoint PPT 4.0 Importer Multiple Stack Buffer Overflow Vulnerabilities
8. iDefense: Microsoft PowerPoint PPT95 Import Multiple Stack Buffer Overflow Vulnerabilities
9. iDefense: Microsoft PowerPoint PPT95 Import Multiple Stack Buffer Overflow Vulnerabilities
10. iDefense: Microsoft PowerPoint Build List Memory Corruption Vulnerability
11. iDefense: Microsoft PowerPoint Notes Container Heap Corruption Vulnerability
12. iDefense: Microsoft PowerPoint Notes Container Heap Corruption Vulnerability
13. iDefense: Microsoft PowerPoint Integer Overflow Vulnerability

Die iDefense-Advisories #11 und #12 scheinen identisch zu sein. Vermutlich wird iDefense ein Advisory demnächst auf dem Server ersetzen.

Bewertung der Schwachstellen

Das Internet Storm Center hat wie immer eine Übersicht über die veröffentlichten Patches erstellt. Für Clients wurde das Bulletin dabei mit der Aufforderung 'Patch now' versehen. Verständlich, da eine der Schwachstellen ja bereits ausgenutzt wird. Für Server stuft das ISC das Bulletin als wichtig ein - auf Servern wird auch eher selten PowerPoint zum Einsatz kommen.

Fazit

Wie immer gilt: Installieren Sie die Patches so schnell wie möglich. Wenn es welche gibt. Works-Benutzer und Benutzer der Mac-Version sollten sicherheitshalber bis zum Erscheinen von Patches auf das Öffnen nicht selbst erstellter PowerPoint-Dateien verzichten. Oder sich nach einer Alternative umsehen. OpenOffice ist ja gerade in der neuen Version 3.1 erschienen, und die sollte inzwischen auch auf dem Mac sehr gut laufen.

Carsten Eilers

Übersicht der Meldungen auf 'Security aktuell':

• PowerPoint: Mehrere Schwachstellen erlauben die Ausführung beliebigen Codes (MS09-017)
• PowerPoint: Nicht näher beschriebene Schwachstelle erlaubt Ausführung beliebigen Codes (MS09-017) (aktualisiert)
• Works: Mehrere Schwachstellen erlauben die Ausführung beliebigen Codes (MS09-017)