Channel Security

Am Januar-Patchday gab es Patches von Microsoft, Adobe und Oracle. Microsoft hat wie angekündigt ein als kritisch eingestuftes Security Bulletins veröffentlicht, im dem eine einzelne Schwachstelle beschrieben wird. Auch das von Adobe veröffentlichte Security Bulletin wird als kritisch eingestuft, beschrieben werden 8 Schwachstellen. Und Oracle veröffentlicht im Rahmen des 'Critical Patch Update - January 2010' Patches bzw. Updates für 24 Schwachstellen, darunter mehrere kritische. Betroffen sind fast alle angebotenen Produkte.

MS10-001 - Schwachstelle in der Embeded OpenType Font Engine

Ein Integerüberlauf beim Entpacken präparierter Embedded OpenType (EOT) Fonts durch die Embeded OpenType Font Engine erlaubt die Ausführung beliebigen Codes. Die Schwachstelle kann nur unter Windows 2000 ausgenutzt werden, daher wird sie auch nur dafür als kritisch eingestuft. Für Windows XP, Server 2003, Vista, Server 2008, 7 und Server 2008 R2 lautet die Einstufung "low" (niedrig), da der entsprechende Code zwar enthalten ist, aber keine Möglichkeit bekannt ist, die Schwachstelle auszunutzen.

Die Schwachstelle war vor der Veröffentlichung des Security Bulletins nicht öffentlich bekannt, entsprechend gibt es bisher keine Angriffe darüber. Ein Eintrag im Security Research & Defense Blog liefert weitere Informationen über die Schwachstelle und mögliche Angriffe und erklärt, wieso die Schwachstelle nur einen Exploitability Index von "2" für Windows 2000 und "3" für alle anderen Systeme hat: Es wird zwar mit Exploit-Code gerechnet, der aber sehr wahrscheinlich nicht zuverlässig funktionieren wird.

Die übliche Übersicht über die Security Bulletins im Handler's Diary des ISC könnte diesmal im Prinzip entfallen, sie gleicht Microsofts eigenen Angaben.

MS09-035 aktualisiert

Microsoft hat außerdem das Security Bulletin MS09-035 aktualisiert. Dabei handelt es sich um eines der im Juli 2009 außerplanmäßig veröffentlichte Bulletins, das die Schwachstellen in der Microsoft Active Template Library (ATL) betreffen. Grund für die Aktualisierung: Auch Windows Embedded CE 6.0 gehört zu den betroffenen Produkten. Nur Entwickler und Hersteller, die das System nutzen, sind von den Änderungen betroffen.

Leiche im Windows-XP-Keller

Außerdem hat Microsoft ein Security Advisory veröffentlicht, das auf eine extrem veraltete Version (6.x) von Adobes Flash Player in Windows XP hinweist, die mehrere kritische Schwachstellen enthält. Secunia hat ein Advisory zu einer dieser Schwachstellen veröffentlicht. Der Flash Player 6 sollte gelöscht werden, Adobe empfiehlt generell, immer die aktuellste Version einzusetzen, im Fall des Flash Players ist das zur Zeit Version 10.0.42.34.

Schwachstellen in Adobe Reader und Acrobat

Adobe hat ein als kritisch eingestuftes Security Bulletin veröffentlicht. Insgesamt 8 Schwachstellen in Adobe Reader und Acrobat, die die Ausführung beliebigen Codes, Cross Site Scripting und DoS-Angriffe erlauben, wurden in Adobe Reader und Acrobat Version 8.2 und 9.3 behoben. Unter den behobenen Schwachstellen befindet sich auch die im Dezember bekannt gewordene 0-Day-Schwachstelle, die bereits im Rahmen gezielter Angriffe und massenhaften Mail-Versands oder Drive-by-Infektionen ausgenutzt wird.

Adobe weist darauf hin, das Adobe Reader 7.x und Acrobat 7.x für Windows, Mac OS X und Unix sowie der Adobe Reader 8.x für Unix nicht mehr unterstützt werden.

Oracles vierteljährlicher Patchday

Auch Oracle hat im Rahmen des vierteljährlichen Patch-Zyklus das 'Critical Patch Update - January 2010' veröffentlicht, das insgesamt 24 Schwachstellen in den meisten angebotenen Produkten behebt, darunter wieder einige kritische, die die Ausführung eingeschleusten Codes erlauben.

Fazit

Wie immer gilt: Installieren Sie die Patches bzw. die Updates so schnell wie möglich. Besonders kritisch sind diesmal die Updates für Adobe Reader und Acrobat, da die 0-Day-Schwachstelle seit einem Monat intensiv ausgenutzt wird und erfahrungsgemäß auch bald die ersten Exploits für die bisher nicht öffentlich bekannten Schwachstellen auftauchen werden. Auch Oracles 'Critical Patch Update' behebt einige kritische Schwachstellen, ggf. sind also auch diese Patches dringend zu installieren.

Die Schwachstelle in Windows ist diesmal nur für Nutzer von Windows 2000 kritisch, die sich mit der Installation des Patches nicht zu viel Zeit lassen sollten. Aber auch die Nutzer der anderen Systeme sollten die Installation nicht unnötig auf die lange Bank schieben: Nur, weil bisher keine Möglichkeit bekannt ist, um die Schwachstelle auszunutzen, bedeutet das nicht, dass es nicht vielleicht doch eine gibt. Und es wäre doch ärgerlich, von einem virtuellen kotzenden Pferd vor der Apotheke getreten zu werden, nur weil man zu lange mit dem Patchen gewartet hat.

Carsten Eilers

Übersicht der Meldungen auf 'Security aktuell':

• MS10-001: Schwachstelle in der Embeded OpenType Font Engine
• Flash Player 6 von Windows XP
• Adobe Reader
• Acrobat
• Oracle Critical Patch Update - January 2010