Mit dem außerplanmäßig veröffentlichten Security Bulletin MS10-002 für den Internet Explorer liefert Microsoft außer den Patches für die aktuelle 0-Day-Schwachstelle auch welche für 7 weitere Schwachstellen. Eine erlaubt das Umgehen des XSS-Filters im IE 8, die anderen erlauben die Ausführung beliebigen Codes durch präparierte URLs oder Webseiten, alle sind laut Microsoft zuvor nicht öffentlich bekannt gewesen. Betroffen sind insgesamt alle zur Zeit unterstützten Versionen des Internet Explorers unter allen unterstützten Windows-Versionen.

Die 0-Day-Schwachstelle

Microsoft konnte die 0-Day-Schwachstelle CVE-2010-0249 so schnell patchen, da sie bereits seit Anfang September 2009 bekannt war. Bei der Untersuchung der neuen Schwachstelle stellte man fest, dass sie mit einer bereits zuvor vertraulich gemeldeten Schwachstelle identisch ist. Was wieder einmal beweist: Auch wenn eine Schwachstelle vertraulich an den entsprechenden Hersteller gemeldet wird, kann sie jederzeit von Dritten entdeckt und ausgenutzt werden. Darum sollte sich Microsoft auch nicht so sicher sein, dass den Cyberkriminellen kein Exploit zum Umgehen der DEP bekannt ist und der IE 8 mit aktivierter DEP unter Windows XP relativ sicher ist. Nur weil die Entwickler die Exploits nicht veröffentlichen, bedeutet das nicht, dass er nicht anderswo ebenso entwickelt werden kann. Außerdem rechnet z.B. Craig Schmugar von den McAfee Labs damit, dass die bisher "privaten" Exploits nach der Veröffentlichung der Patches vielleicht doch veröffentlicht werden.

Die Schwachstelle im XSS-Filter des IE 8

Das der XSS-Filter im IE 8 einen Design-Fehler enthält, der Angriffe auf Webseiten möglich macht, die selbst gar keine entsprechenden Schwachstellen enthalten, ist seit September 2009 bekannt, siehe auch das About Security Weihnachtsspecial. Die jetzt behobene Schwachstelle im XSS-Filter kann damit eigentlich nichts zu tun haben: Der Design-Fehler ist öffentlich bekannt, die nun behobene Schwachstelle war das laut Microsoft bisher nicht:

"When this security bulletin was issued, had this vulnerability been publicly disclosed?
No. Microsoft received information about this vulnerability through responsible disclosure."
(aus der FAQ zu CVE-2009-4074)

Leider hat Microsoft da wohl mal wieder irgend etwas durcheinander gebracht, denn es handelt sich in der Tat um die im September veröffentlichte Schwachstelle, wie man dem Eintrag zur CVE-ID CVE-2009-4074 entnehmen kann.

Die bisher (hoffentlich) unbekannten Schwachstellen

Auch alle anderen Schwachstellen mit Ausnahme der 0-Day-Schwachstelle sind laut Microsoft bisher nicht öffentlich bekannt. Fragt sich, ob man den Angaben trauen darf. Konkret handelt es sich um eine Schwachstelle beim Verarbeiten von URLs (CVE-2010-0027), vier "Uninitialized Memory Corruption Vulnerabilities" (CVE-2010-0244, von der Zero Day Initiative beschrieben in ZDI-10-011, CVE-2010-0245 / ZDI-10-013, CVE-2010-0246 / ZDI-10-012 und CVE-2010-0247) sowie eine "HTML Object Memory Corruption Vulnerability" (CVE-2010-0248 / ZDI-10-014).

Bemerkenswert: Die Beschreibung von 6 der 8 Schwachstellen beginnt mit "A remote code execution vulnerability exists in the way that Internet Explorer accesses an object that has not been correctly initialized or has been deleted." Sowas ist natürlich ein Standardfehler und entsprechend auch eine Standardbeschreibung, aber in dieser Häufung doch auffallend.

Exploitability Index

Die Auswertung des Exploitability Index ist angesichts der bereits ausgenutzten Schwachstelle eigentlich überflüssig. Viel schlimmer kann es ja nicht mehr kommen, wen die vorhandenen Exploits nicht zum Patchen bewegen, der wird sich von möglicherweise kommenden erst recht nicht stören lassen. Trotzdem ein kurzer Überblick über die neuen Schwachstellen, die das Ausführen von Code erlauben: Für drei der Schwachstellen ist die Veröffentlichung zuverlässig funktionierenden Exploit-Codes zu erwarten, für eine wird mit inkonsistenten Exploit-Code gerechnet. Für die restlichen beiden gibt es keine Einschätzung, da sie bereits mit den Patches aus dem Security Bulletin MS09-072 teilweise behoben wurden.

Fazit

Ein Blick auf die übliche Übersicht im Handler's Diary des ISC erübrigt sich: Das "PATCH NOW!" für Clients sollte selbstverständlich sein. Server, auf denen ja im allgemeinen nicht im Internet gesurft wird, sind zwar weniger gefährdet, trotzdem sollte man die Patches installieren. Allein schon, weil danach auch alle anderen Programme, die die betroffene Bibliothek nutzen, geschützt sind.

Da die 0-Day-Schwachstelle sowohl weiterhin für gezielte Angriffe als auch im Rahmen von Drive-by-Infektionen ausgenutzt wird, sollten Sie die Patches schnellstens installieren, sofern Sie das noch nicht getan haben.

Carsten Eilers

Einträge im Bereich "Security aktuell":
0-Day-Schwachstelle
Die "neuen" Schwachstellen