Am April-Patchday haben Microsoft, Adobe und Oracle kräftig aufgeräumt: Microsoft hat wie angekündigt elf Security-Bulletins veröffentlicht, die insgesamt 25 Schwachstellen betreffen, von Adobe gibt es ein Security Bulletin für 15 Schwachstellen, und Oracle stopft mit dem Critical Patch Update für den April 47 Schwachstellen in fast der gesamten Produktpalette, darunter 16 für Sun-Produkte, die erstmals am quartalsweisen "Super-Patchday" bedacht werden.

Microsoft: Die fünf kritischen Bulletins

Das Security Bulletin MS10-019 betrifft alle Windows-Versionen von Windows 2000 SP4 bis Windows 2008 R2. Zwei vertraulich gemeldete Schwachstellen in der 'Windows Authenticode Verification' erlauben es, in signierte Dateien (zum einen Dateien im "portable executable"-Format (PE), zum anderen Cabinet-Dateien (.cab)) Schadcode einzufügen, ohne die Signatur ungültig zu machen. Startet ein Benutzer diese präparierten Dateien, da er sie für einwandfreie Programme eines vertrauenswürdigen Herstellers hält, wird der Schadcode ausgeführt.

Auch MS10-020 betrifft alle Windows-Versionen. Vier vertraulich gemeldete Schwachstellen im SMB-Client erlauben die Ausführung beliebigen Codes. Um die Schwachstellen ausnutzen zu können, muss der Angreifer das Opfer dazu bewegen, mit einem bösartigen SMB-Server Verbindung aufzunehmen. Das kann z.B. durch eine Webseite mit einem entsprechenden URI darin passieren. Beim Verarbeiten präparierter SMB-Responses kommt es dann zur Ausführung eingeschleusten Codes. Ein Eintrag im Security Research & Defense Blog liefert weitere Informationen über mögliche Angriffswege und Schutzmaßnahmen.

Außerdem wird mit dem Patch zu diesem Bulletin die bereits seit November 2009 bekannte DoS-Schwachstelle in Windows 7 und Server 2008 R2 behoben.

Das Bulletin MS10-025 betrifft nur Windows 2000 Server SP4: Eine vertraulich gemeldete Schwachstelle im Windows Media Services erlaubt die Ausführung beliebigen Codes. Sie befindet sich im Windows Media Unicast Service und kann durch präparierte Transportinformationen ausgenutzt werden.

MS10-026 wird für Windows 2000 SP4, XP SP2/SP3, Server 2003 SP2 und Server 2008 samt SP2 als kritisch eingestuft, für Windows Vista samt SP1/SP2 als wichtig. Eine vertraulich gemeldete Schwachstelle in den MPEG Layer-3 Audio Codecs erlaubt die Ausführung beliebigen Codes, wenn ein präparierter AVI-Container mit einem MPEG Layer-3 Audio Stream geöffnet wird. So ein Container könnte z.B. auf einer Webseite bereit gehalten werden.

Das letzte kritische Bulletin ist MS10-027: Eine vertraulich gemeldete Schwachstelle im Windows Media Player 9 für Windows 2000 SP4 und XP SP2/SP3 erlaubt die Ausführung beliebigen Codes. Die Schwachstelle wurde über die Zero Day Initiative (ZDI) gemeldet, die ein eigenes Advisory veröffentlicht hat. Demnach tritt der Fehler auf, wenn der Codec für unbekannten fourCC-Kompressionscode gesucht wird. Wird eine entsprechend präparierte Webseite besucht, kann ein Angreifer beliebigen Code ausführen.

Microsoft: Die fünf wichtigen Bulletins

MS10-021 wird für Windows 2000 SP4, XP SP2/SP3, Server 2003 SP2 und Vista als wichtig eingestuft, für Windows Vista SP1/SP2, Server 2008 samt SP2, 7 und Server 2008 R2 als Moderat. Acht vertraulich gemeldete Schwachstellen im Kernel erlauben lokale Privilegieneskalation und DoS-Angriffe. Ein Eintrag im Security Research & Defense Blog liefert weitere Informationen zu den Schwachstellen, die die Registry betreffen.

MS10-022 betrifft die seit Anfang März bekannte Schwachstelle in der VBScript-Funktion MsgBox(), die das Ausführen beliebigen Codes über präparierte HLP-Dateien erlaubt. Sie wird für Windows 2000 SP4, XP SP2/SP3 und Server 2003 SP2 als wichtig eingestuft. Unter Windows Server 2008, Vista, 7 und Server 2008 R2 kann der betroffene Code nicht ausgenutzt werden, als 'defense-in-depth'-Maßnahme wird er aber auch darin korrigiert.

MS10-023 ist das erste Bulletin für Office an diesem Patchday: Eine privat gemeldete Pufferüberlauf-Schwachstelle im Publisher von Office XP SP3, 2003 SP3 und 2007 SP1/SP2 erlaubt die Ausführung beliebigen Codes. Die Schwachstelle wurde über die Zero Day Initiative gemeldet, die ein eigenes Advisory veröffentlicht hat. Die Schwachstelle tritt auf, wenn Dateien aus dem Publisher-97-Format umgewandelt werden.

Das Bulletin MS10-024 betrifft Windows 2000 SP4, XP SP2/SP3, Server 2003 SP2, Server 2008 samt SP2 und Server 2008 R2 sowie den Microsoft Exchange Server 2000 SP3, 2003 SP2, 2007 SP1/SP2 und 2010. Eine laut Microsoft bereits zuvor veröffentlichte Schwachstelle in Microsoft Exchange und dem Windows SMTP Service erlaubt Denial-of-Service-Angriffe, eine vertraulich gemeldete das Ausspähen von E-Mail-Fragmenten.

MS10-028 betrifft wieder Office: Zwei vertraulich gemeldete Schwachstellen in Microsoft Office Visio 2002 SP2, 2003 SP2 und 2007 SP1/SP2 erlauben die Ausführung beliebigen Codes, wenn eine entsprechend präparierte Visio-Datei geöffnet wird.

Microsofts moderates Bulletin

Das als moderat eingestufte Bulletin MS10-029 betrifft nur Windows XP SP2/SP3, Server 2003 SP2, Vista samt SP1/SP2 und Server 2008 samt SP2. Windows 7 und Server 2008 R2 enthalten bereits die nun als Update veröffentlichten Features. Eine vertraulich gemeldete Schwachstelle im IPv6-Stack beim Prüfen von getunnelten Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) Paketen erlaubt das Spoofen von IPv4-Adressen.

Weitere Informationen zu Microsoft

Abgesehen von der Veröffentlichung der Security Bulletins gibt es noch zwei weitere sicherheitsrelevante Informationen. Zum einen endet mit diesem Patchday der Support für Windows Vista ohne Service Pack, der Support für Windows XP mit Service Pack 2 endet am 13. Juli 2010. Zum anderen musste Microsoft die Absenderadresse für E-Mail-Benachrichtigungen kurzfristig ändern: Die früher von 'microsoft@newsletters.microsoft.com' kommenden Mails kommen in Zukunft vom Absender 'securitynotifications@email.microsoftemail.com'. Microsoft bittet darum, Filter und Regeln entsprechend zu ändern.

Adobes Bulletin

Adobe hat am Patchday wie üblich nur ein Security Bulletin und Updates für den Adobe Reader und Acrobat veröffentlicht, für alle anderen Produkte gibt es keinen Patchday. Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes, sie wurden in Version 8.2.2 und 9.3.2 behoben.

Eine der Schwachstellen wurde über die Zero Day Initiative gemeldet, die bereits ein eigenes Advisory veröffentlicht hat. Eine weitere Schwachstelle wird auf der vom 12. bis 15. April stattfinden Konferenz 'BLACK HAT EUROPE 2010' vorgestellt, Fortinet hat vorab nur wenige Informationen veröffentlicht.

Adobe hatte bereits vorab darauf hingewiesen, dass die Updates für Windows und Mac OS X über den neuen Update-Mechanismus ausgeliefert werden. Windows-Nutzer haben damit die Möglichkeit, die Updates automatisch herunterladen und installieren zu lassen, sie nur automatisch herunterladen zu lassen und danach manuell zu installieren oder sie zu ignorieren. Mac-Nutzer haben die Wahl zwischen dem automatischen Download mit manueller Installation und dem Ignorieren der Updates. Brad Arkin liefert im Adobes ASSET (Adobe Secure Software Engineering Team) Blog 'An Update on Staying Up-To-Date'.

Oracles 'Critical Patch Update'

Oracles Critical Patch Update betrifft 31 Schwachstellen in fast der gesamten Produktpalette (Oracle Database Server, Oracle Fusion Middleware, Oracle Collaboration Suite, Oracle E-Business Suite, Oracle PeopleSoft Enterprise, Oracle Life Sciences, Retail und Communications Industry Suites), weitere 16 wurden in Sun-Produkten behoben. Ein Eintrag im Oracle Global Product Security Blog liefert einen ersten Überblick über die Patches.

Bewertung der Schwachstellen

Ein Eintrag im Blog des Microsoft Security Response Center (MSRC) liefert einen Überblick über die Schwachstellen. Auf drei der Bulletins weist Microsoft dabei besonders hin, diese Patches sollten bevorzugt installiert werden: MS10-019, MS10-026 und MS10-027.

MS10-019 betrifft die Schwachstellen in der 'Windows Authenticode Verification', die zwar nur eine "2" als "Exploitability Index" bekommen haben, die aber nichts desto trotz gefährlich sind, da sie ausgenutzt werden können, um vertrauenswürdige Programme oder Installationspakete mit Schadcode zu infizieren, ohne dass die Manipulation auffällt. MS10-026, die Schwachstelle in den MPEG Layer-3 Audio Codecs, eignet sich für Drive-by-Infektionen, ebenso wie die von MS10-027 abgedeckte Schwachstelle im Windows Media Player 9. Außer dem MSRC gibt auch das Security Research & Defense Blog Hilfestellungen beim Bewerten der Schwachstellen: 'Assessing the risk of the April Security Bulletins'. Hier ist die Reihenfolge der zuerst zu installierenden Updates genau anders herum: MS10-027, MS10-026 und MS10-019.

Die übliche Übersicht über die Security Bulletins im Handler's Diary des ISC weicht wie üblich von Microsofts Einstufung ab: Die von Microsoft nur als wichtig eingestuften Patches für die Office-Programme werden vom ISC als für Clients kritisch eingestuft. Das ist verständlich, da nur wenig Social Engineering ausreicht, um einen Benutzer zum Öffnen einer z.B. per Mail zugeschickten Visio- oder Publisher-Datei zu bewegen. Auffallend ist die Einstufung für die Schwachstelle in VBScript, die von Microsoft als wichtig eingestuft wird, da sie eine Benutzeraktion erfordert, bevor Code ausgeführt wird. Das ISC rät hier "Patch now!" für Clients und hält die Schwachstelle auch für Server für kritisch. Evtl. hat man da ja Zuckungen und den Finger zu nah an der F1-Taste.

Fazit

Wie immer gilt: Installieren Sie die Updates so schnell wie möglich. Da Schwachstellen im Adobe Reader von den Cyberkriminellen besonders gerne ausgenutzt werden, sollten diese Updates am besten zuerst installiert werden. Bei den Microsoft-Patches kann man sich dann nach den Vorschlägen im Eintrag im Blog des Microsoft Security Response Center richten. Wer außerdem noch Oracle-Patches installieren muss, ist zu bedauern. Wie gross ist eigentlich die Wahrscheinlichkeit dafür, dass es bei der Fülle von Patches und Updates zu Inkompatibilitäten kommt? Immerhin wurden die ja nur gegen die inzwischen veralteten Versionen der Programme der jeweils anderen Hersteller getestet.

Carsten Eilers

Übersicht der Meldungen auf 'Security aktuell':

• MS10-019 (kritisch): Windows Authenticode Verification
• MS10-020 (kritisch): SMB-Client, Codeausführung
• MS10-020 (kritisch): SMB-Client, DoS (Update)
• MS10-025 (kritisch): Windows Media Services
• MS10-026 (kritisch): MPEG Layer-3 Audio Codecs
• MS10-027 (kritisch): Windows Media Player
• MS10-021 (wichtig): Windows-Kernel
• MS10-022 (wichtig): VBScript (Update)
• MS10-023 (wichtig): Microsoft Office Publisher
• MS10-024 (wichtig): Microsoft Exchange
• MS10-024 (wichtig): Windows SMTP Service
• MS10-028 (wichtig): Microsoft Office Visio
• MS10-029 (moderat): ISATAP
• Adobe Reader
• Acrobat
• Oracle-Produkte
• Solaris