Am Dezember-Patchday hat Microsoft wie angekündigt sechs als kritisch und zwei als wichtig eingestufte Security-Bulletins veröffentlicht. Insgesamt schließen die Bulletins 27 Schwachstellen, von denen nur eine zuvor öffentlich bekannt war - die wird dafür aber auch bereits für gezielte Angriffe ausgenutzt.

MS08-070: Visual Basic 6.0 Runtime Extended Files

Das insgesamt als kritisch eingestufte Bulletin MS08-070 betrifft u.a. die einzige vor dem Patchday bereits öffentlich bekannte Schwachstelle: Eine seit August bekannte Schwachstelle, die bereits für gezielte Angriffe ausgenutzt wird, sowie fünf bisher nicht bekannte Schwachstellen in den ActiveX-Controls für Microsoft Visual Basic 6.0 Runtime Extended Files erlauben die Ausführung beliebigen Codes. Außer Visual Basic sind auch Visual Studio .NET 2002 und 2003, Visual FoxPro 8.0 und 9.0, Office Project 2003 und 2007 sowie die chinesischen und koranischen Versionen von FrontPage 2002 betroffen.

Weitere Informationen zu den Schwachstellen enthalten die Advisories der Zero Day Initiative (ZDI) und Secunia.

MS08-071: Graphics Device Interface (GDI)

Das ebenfalls als kritisch eingestufte Bulletin MS08-071 beschreibt zwei Schwachstellen im Graphics Device Interface (GDI) von Windows 2000 SP4, XP SP2/SP3, Server 2003 SP1/SP2, Vista, Vista SP1 und Server 2008. Beide erlauben die Ausführung beliebigen Codes durch entsprechend präparierte WMF-Dateien. Ein Advisory von iDefense enthält weitere Informationen zu einer der Schwachstellen.

MS08-072: Word und Outlook

Mit dem Bulletin MS08-072 werden acht Schwachstellen in Word und Outlook veröffentlicht, die alle die Ausführung beliebigen Codes erlauben. Die Schwachstellen werden für Word 2000 und Outlook 2007 insgesamt als kritisch eingestuft, für alle anderen betroffenen Versionen als wichtig. Advisories der Zero Day Initiative (ZDI-08-084, ZDI-08-085 und ZDI-08-086) und von Secunia beschreiben die Schwachstellen etwas genauer.

MS08-073: Internet Explorer

Vier Schwachstellen im Internet Explorer, die die Ausführung beliebigen Codes erlauben, werden mit dem Bulletin MS08-073 veröffentlicht. Die Schwachstellen werden für den Internet Explorer 5.01 und 6 SP1 unter Windows 2000 SP4, den Internet Explorer 6 unter Windows XP SP2/SP3 und den Internet Explorer 7 insgesamt als kritisch eingestuft, für den Internet Explorer 6 unter Windows Server 2003 SP1/SP2 insgesamt als Moderat.

Auch zu diesen Schwachstelle gibt es Erläuterungen, und zwar von iDefense und der Zero Day Initiative.

MS08-074: Excel

MS08-074 betrifft drei Schwachstellen in Microsoft Excel, die die Ausführung beliebigen Codes erlauben. Die Schwachstellen werden für Excel 2000 insgesamt als kritisch eingestuft, für alle anderen betroffenen Versionen und Programme als wichtig. Ein Advisory von Secunia beschreibt eine der Schwachstellen genauer.

MS08-075: Windows Search

Das als kritisch eingestufte Bulletin MS08-075 behandelt zwei Schwachstellen in Windows Search in Windows Vista SP1 und Server 2008. Sie erlauben die Ausführung beliebigen Code, wenn eine entsprechend präparierte gespeicherte Suche geöffnet und wieder geschlossen bzw. eine entsprechend präparierte Such-URL angeklickt wird.

Zu diesem Bulletin gibt es eine Ergänzung im Security Vulnerability Research & Defense Blog: MS08-075: Reducing attack surface by turning off protocol handlers.

MS08-076: Windows Media Komponenten

Zwei Schwachstellen in den Windows Media Komponenten Windows Media Player 6.4, Windows Media Format Runtime 7.1, 9.0, 9.5 und 11 sowie Windows Media Services 4.1, 9 und 2008 erlauben die Ausführung beliebigen Codes bzw. das Ausspähen von NTLM-Credentials. Die Schwachstellen werden im als Wichtig eingestuften Bulletin MS08-076 beschrieben. Im Security Vulnerability Research & Defense Blog gibt es weitere Erläuterungen zum Bulletin: 'MS08-076: Windows Media Components', Teil 1 und Teil 2,

MS08-077: Office SharePoint Server

Das voraussichtlich letzte Bulletin für 2008, MS08-077, wird ebenfalls als wichtig eingestuft: Eine Schwachstelle im Office SharePoint Server 2007 und 2007 SP1 erlaubt das Umgehen der Authentifizierung für den Administrationsbereich durch direkten Aufruf der entsprechenden URL.

Das meint das ISC:

Das Internet Storm Center hat wie immer eine Übersicht über die veröffentlichten Patches erstellt. Demnach sind entgegen Microsofts Einstufung alle Bulletins mit Ausnahme des Bulletins für den Office SharePoint Server für Clients kritisch und für Server wichtig. Das Bulletin für den Office SharePoint Server wird für Server als kritisch eingestuft, da Microsoft bei der Beschreibung des Workarounds wichtige Hinweise für potentielle Angreifer gegeben hat. Ups...

Carsten Eilers

Übersicht der Meldungen auf 'Security aktuell':

• Microsoft Visual Basic 6.0 (MS08-070)
• Update: Microsoft Visual Studio (MS08-070)
• GDI (MS08-071)
• Word (MS08-072)
• Internet Explorer (MS08-073)
• Excel (MS08-074)
• Windows Search (MS08-075)
• Windows Media Player (MS08-076)
• Windows Media Format Runtime (MS08-076)
• Windows Media Services (MS08-076)
• Office SharePoint Server (MS08-077)