Am Juli-Patchday wurden von Microsoft wie angekündigt 4 Security Bulletins veröffentlicht, die alle als 'wichtig'/'important' eingestuft wurden. Es wurden 10 Schwachstellen behoben, davon waren nur 2 zuvor öffentlich bekannt.

DNS-Spoofing

Das Security Bulletin MS08-037 beschreibt zwei Schwachstellen im DNS-Client und -Server von Windows 2000, XP, Server 2003 und Server 2008, die Spoofing-Angriffe erlauben. Mangelhafte Entropie erlaubte klassische Cache-Poisoning-Angriffe (CVE-2008-1447), vom 'Security Vulnerability Research & Defense Blog' gibt es ergänzende Informationen zu dieser Schwachstelle: Zusätzlich zu einer zufälligen Transaction-ID wird nun auch ein zufälliger Quellport verwendet, so dass ein Angreifer für einen erfolgreichen Angriff beide zufällig generierten Werte korrekt raten muss. Die zweite Schwachstelle führte dazu, dass in bestimmten Fällen Daten von nicht dazu autorisierten Servern akzeptiert und im Cache gespeichert wurden (CVE-2008-1454).

Codeausführung durch 'saved-search'-Dateien

Eine bereits öffentlich bekannte Schwachstelle beim Parsen zu speichernder Such-Dateien im Windows Explorer wird im Security Bulletin MS08-038 beschrieben. Sie erlaubte die Ausführung beliebigen Codes, wenn eine präparierte 'saved-search'-Datei (Endung .search-ms) geöffnet und danach wieder gesichert wurde (CVE-2008-1435).

Außerdem wurde eine ebenfalls bereits seit längerem bekannte Schwachstelle behoben, die Angreifer mit physikalischem Zugriff auf ein System evtl. zur Ausführung beliebigen Codes ausnutzen konnten: Der 'NoDriveTypeAutoRun'-Registry-Eintrag wurde nicht richtig beachtet (CVE-2008-0951). Dies konnte dazu führen, das entgegen der gewünschten Einstellung doch automatisch Programme von angeschlossenen Geräten wie z.B. USB-Sticks gestartet wurden.

Betroffen sind jeweils Windows Vista einschließlich SP1 und Server 2008.

XSS in Outlook Web Access

Zwei Schwachstellen in Outlook Web Access (OWA) für Microsoft Exchange Server 2003 und 2007 wurden im Security Bulletin MS08-039 veröffentlicht. Sie erlaubten Cross-Site-Scripting-Angriffe über nicht genannte E-Mail-Felder beim Öffnen einer E-Mail (CVE-2008-2247) und HTML in E-Mails (CVE-2008-2248). Vom 'Security Vulnerability Research & Defense Blog' gibt es zusätzliche Informationen darüber, welche Benutzer gefährdet sind.

Vier Schwachstellen im SQL-Server

Im Security Bulletin MS08-040 wurden vier Schwachstellen im SQL Server beschrieben, die alle nur von authentifizierten Benutzern ausgenutzt werden können. Eine Schwachstelle bei der erneuten Verwendung von Speicherseiten konnte zur Preisgabe sensitiver Informationen führen, da die Speicherbereiche nicht initialisiert wurden und dadurch zuvor gespeicherter Daten erhalten blieben (CVE-2008-0085).

Pufferüberlauf-Schwachstellen bei der Konvertierung von SQL-Ausdrücken von einem Typ in andere Datentypen (CVE-2008-0086), der Prüfung von Datenstrukturen in gespeicherten Dateien (CVE-2008-0107) und beim Verarbeiten von insert-Statements (CVE-2008-0106) erlaubten die Ausführung beliebigen Codes. Vom 'Security Vulnerability Research & Defense Blog' gibt es ergänzende Informationen zu den Backup-Dateien des SQL-Servers

Betroffen sind SQL Server 7.0, 2000 und 2005, Microsoft Data Engine (MSDE) 1.0, Microsoft SQL Server 2000 Desktop Engine (MSDE 2000), Microsoft SQL Server 2005 Express Edition, Microsoft SQL Server 2000 Desktop Engine (WMSDE) und Windows Internal Database (WYukon).

Zu guter Letzt: Die Sturmmeldung

Das Internet Storm Center hat auch diesmal wieder eine eigene Übersicht über die veröffentlichten Patches erstellt. Entgegen Microsofts Einstufungen gibt es dabei drei mal den Hinweis 'Critical': Für Clients für die Schwachstelle im Windows-Explorer, für Server für die XSS-Schwachstellen in Outlook Web Access und die Schwachstellen im SQL-Server. Im Fall des Windows-Explorers kann ich das noch verstehen, die Schwachstelle könnte über E-Mails und Social Engineering leicht ausgenutzt werden, aber 'Kritisch' für Cross-Site-Scripting halte ich dann doch für etwas übertrieben. Bei den Schwachstellen im SQL-Server kommt es immer auf die jeweiligen Umstände, genauer: Die Benutzer, an: Alle Schwachstellen können nur von angemeldeten Benutzern ausgenutzt werden. Wenn man denen nicht vertrauen kann, z.B. weil Eingaben für SQL-Abfragen von einer offen zugänglichen Webseite kommen, sind die Privilegieneskalationen wirklich kritisch.

Carsten Eilers

Übersicht der Meldungen auf 'Security aktuell':

• Zwei Schwachstellen erlauben DNS-Spoofing (MS08-037)
• Schwachstelle beim Verarbeiten von Such-Dateien durch den Windows-Explorer erlaubt Ausführung beliebigen Codes (MS08-038)
• Windows Vista beachtet den 'NoDriveTypeAutoRun'-Registry-Eintrag nicht richtig (MS08-038)
• Zwei Cross-Site-Scripting-Schwachstellen in Outlook Web Access behoben (MS08-039)
• Vier Schwachstellen im SQL Server erlauben das Ausspähen sensitiver Informationen und das Erlangen höherer Benutzerrechte (MS08-040)