Am Februar-Patchday hat Microsoft wie angekündigt zwei als kritisch und zwei als wichtig eingestufte Security-Bulletins veröffentlicht, die insgesamt 8 Schwachstellen schließen: Zwei kritische im Internet Explorer, eine kritische und eine wichtige im Exchange Server, eine wichtige im SQL Server und drei wichtige in Office Visio. Bis auf die Schwachstelle im SQL Server waren alle Schwachstellen zuvor nicht öffentlich bekannt.

Außer den Security Bulletins hat Microsoft auch ein Security Advisory veröffentlicht, das die Kill-Bits für einige gefährdete ActiveX-Controls setzt.

MS09-002: Zwei Schwachstellen im Internet Explorer

Das als kritisch eingestufte Security Bulletin MS09-002 betrifft den Internet Explorer: Zwei zuvor nicht veröffentlichte Schwachstellen erlauben die Ausführung beliebigen Codes, wenn eine entsprechend präparierte Webseite aufgerufen wird. Die Schwachstellen treten beim Zugriff auf gelöschte Objekte und der Verarbeitung von CSS auf. Betroffen ist nur der Internet Explorer 7, die Schwachstellen werden für Windows XP SP2/SP3 und Vista samt SP1 als kritisch eingestuft, für Windows Server 2003 und 2008 als moderat. Vermutlich geht Microsoft davon aus, das auf Rechnern mit Server-Betriebssystemen eher selten im Internet gesurft wird. Denn ansonsten sollten sie auch dort als kritisch eingestuft werden, rechnet Microsoft doch im 'Exploitability Index' mit funktionsfähigen Exploit-Code.

Die Zero Day Initiative (ZDI) hat zu den Schwachstellen eigene Advisories veröffentlicht: ZDI-09-011 betrifft den Zugriff auf gelöschte Objekte und ZDI-09-012 die Verarbeitung von CSS.

MS09-003: Zwei Schwachstellen im Exchange Server

Das zweite als insgesamt kritisch eingestufte Security Bulletin ist MS09-003: Zwei bisher nicht öffentlich bekannte Schwachstellen im Exchange Server erlauben beim Verarbeiten einer entsprechend präparierten TNEF-Nachricht die Ausführung beliebigen Codes und beim Verarbeiten eines entsprechend präparierten MAPI-Befehls einen DoS-Angriff auf den EMSMDB32-Provider. Betroffen sind Microsoft Exchange 2000 Server SP3, Microsoft Exchange Server 2003 SP2 und Microsoft Exchange Server 2007 SP1. Weitere Informationen gibt es zur Zeit noch nicht.

MS09-002: Eine Schwachstelle im SQL Server

Das Security Bulletin MS09-004 betrifft den SQL-Server: Eine seit Dezember 2008 öffentlich bekannte, von Microsoft aber als 'privately reported' bezeichnete Schwachstelle in der Extended Stored Procedure sp_replwritetovarbin() erlaubt durch den Aufruf der Funktion mit verschiedenen nicht initialisierten Parametern die Ausführung beliebigen Codes. Betroffen sind der SQL Server 2000 SP4, 2005 SP2, 2000 Desktop Engine SP4 und 2005 Express SP2, die Schwachstelle wird für alle Versionen als wichtig eingestuft.

Für diese Schwachstelle wurde bereits ein Exploit veröffentlich, Microsoft sind aber keine Angriffe darüber bekannt.

MS09-005: Drei Schwachstellen in Office Visio

Das zweite als wichtig eingestufte Security Bulletin ist MS09-005: Drei zuvor nicht öffentlich bekannte Schwachstellen in Office Visio erlauben die Ausführung beliebigen Codes. Betroffen sind Visio 20002 SP2, 2003 SP3 und 2007 SP1, die Schwachstellen treten beim Prüfen von Objekt-Daten, beim Kopieren von Objekt-Daten in den Speicher und der Speicherverwaltung beim Öffnen von Visio-Dateien auf. Weitere Informationen gibt es zur Zeit noch nicht.

'Exploitability Index'

Microsoft hält das Erscheinen funktionsfähigen Exploit-Codes für die beiden Schwachstellen im Internet Explorer für sehr wahrscheinlich, für die Schwachstelle im SQL Server wurde bereits Anfang Dezember 2008 ein 0-Day-Exploit veröffentlicht. Für die Schwachstellen im Exchange Server und Office Vision wird nur mit inkonsistenten Exploit-Code gerechnet.

Bewertung der Schwachstellen

Das Internet Storm Center hat wie immer eine Übersicht über die veröffentlichten Patches erstellt. Während man Microsofts Einstufung der Schwachstellen im Internet Explorer und Exchange Server zustimmt, hat man entgegen Microsofts Einstufung die Schwachstelle im SQL Server als kritisch für Clients (sofern betroffene Komponenten installiert sind) und Server eingestuft. Dem kann ich nur zustimmen: Exloit-Code ist verfügbar, die Schwachstelle kann auch durch SQL-Injection ausgenutzt werden, und 2008 gab es mehrere Wellen von SQL-Injection-Angriffen auf ASP-Webanwendungen. Das sind doch die richtigen Zutaten für eine unangenehmen Schädling oder Massenhack.

Auch bei der Einstufung der Schwachstellen in Visio weicht das ISC von Microsofts Einstufung ab, sie werden für Clients als kritisch eingestuft. Da es reicht, eine per Mail zugeschickte präparierte Visio-Datei zu öffnen, ist das gerechtfertigt. Entsprechende Schwachstellen in anderen Office-Produkten hat Microsoft früher auch schon als kritisch eingestuft.

Von den Schwachstellen im Internet Explorer werden wir wohl bald wieder hören, da Microsoft mit funktionsfähigen Exploit-Code rechnet und diese Schwachstellen prädestiniert dafür sind, im Rahmen von Drive-by-Infektionen ausgenutzt zu werden.

Fazit: Wie immer gilt: Installieren Sie die Patches so schnell wie möglich. Vor allem die für den Internet Explorer sollten installiert sein, bevor die ersten Exploits auftauchen.

Carsten Eilers

Übersicht der Meldungen auf 'Security aktuell':

• Internet Explorer: Zwei Schwachstellen erlauben Ausführung beliebigen Codes (MS09-002)
• Exchange Server: Zwei Schwachstellen erlauben die Ausführung beliebigen Codes und DoS-Angriffe (MS09-003)
• SQL Server: Schwachstelle in der Extended Stored Procedure sp_replwritetovarbin() erlaubt Ausführung beliebigen Codes (MS09-004)
• Office Visio: Drei Schwachstellen erlauben die Ausführung beliebigen Codes (MS09-005)