entwickler.de

Microsoft hat am Mai-Patchday wie angekündigt vier Security-Bulletins veröffentlicht, die insgesamt 6 Schwachstellen, darunter 4 kritische, beheben.

Kritische Schwachstellen in Office

Mit dem Security Bulletin MS08-026 werden zwei bisher nicht veröffentlichte Schwachstellen in Word behoben, die beide die Ausführung beliebigen Codes erlauben. Eine Schwachstelle tritt beim Öffnen von RTF-Dateien mit einem präparierten String darin auf, die andere beim Verarbeiten präparierter CSS-Werte in einer Word-Datei. Die Schwachstellen werden für Word 2000 und Outlook 2007 als kritisch eingestuft. Für alle anderen Versionen ist die Einstufung "wichtig". Außer der Windows-Version ist auch die Version für Mac OS X betroffen.

Das Security Bulletin MS08-027 korrigiert eine bisher nicht öffentlich bekannte Schwachstelle im Microsoft Publisher, die die Ausführung beliebigen Codes durch eine präparierte Publisher-Datei erlaubt. Ursache ist ein Fehler beim Berechnen von Objecthandler-Daten. Die Schwachstelle wird für den Microsoft Publisher 2000 SP3 als kritisch eingestuft, für Version 2002 SP3, 2003 SP2 und 2007 sowie 2007 SP1 als hoch.

Weitere Informationen

Von iDefense gibt es ein Advisory zur Schwachstelle im CSS-Parser, das einige weitere Details enthält.

Die Zero Day Initiative hat ein Advisory zur Schwachstelle im RTF-Parser veröffentlicht. Außer Word wird darin auch Excel als betroffenes Produkt aufgeführt. Vermutlich nutzt Execel Bibliotheken von Word, sodass die Schwachstelle durch das Update für Word auch für Excel behoben wird. In Microsofts Security Vulnerability Research & Defense Blog gibt es ebenfalls einen Eintrag zur RTF-Schwachstelle: MS08-026: How to prevent Word from loading RTF files.

Kritische Schwachstelle in der Jet Database Engine

Das Security Bulletin MS08-028 schließt eine schon seit längerem bekannte Stacküberlauf-Schwachstelle in der Jet Database Engine. Beim Parsen präparierter MDB-Dateien kam es zur Ausführung eingeschleusten Codes. Im Dezember 2007 wurden bereits gezielte Angriffe über diese Schwachstelle gemeldet, die für die Microsoft Jet 4.0 Database Engine als kritisch eingestuft wird. Laut Security-Bulletin kann die Schwachstelle auch durch eine präparierte Datenbank-Abfrage oder Word-Datei ausgenutzt werden.

TippingPoint hat ein eigenes Advisory zu der Schwachstelle veröffentlicht, außerdem gibt es bereits seit dem letzten Jahr ein Advisory von cocoruder. Damals gab Microsoft noch an, die Schwachstelle nicht beheben zu wollen, da es sich um einen als unsicher eingestuften Dateityp handelt. Dass die Schwachstelle auch über eine präparierte Word-Datei ausgenutzt werden kann, hat diese Einschätzung durch Microsoft dann geändert.

DoS-Schwachstellen in der Malware Protection Engine

Mit dem Security Bulletin MS08-029 wurden zwei bisher nicht veröffentlichte DoS-Schwachstellen beim Verarbeiten verschiedener Dateitypen in der in mehreren Sicherheitsprodukten enthaltenen Malware Protection Engine behoben.

Betroffen sind Windows Live OneCare, Microsoft Antigen for Exchange, und SMTP Gateway, Microsoft Windows Defender, Microsoft Forefront Client Security, Microsoft Forefront Security for Exchange Server und SharePoint sowie der Standalone System Sweeper im Diagnostics and Recovery Toolset 6.0. Microsoft stuft das Security Bulletin allgemein als "Moderate/Mittel" ein, für den System Sweeper als niedrig.

Patches ohne Day

Auch außerhalb der Patchdays veröffentlicht Microsoft manchmal Updates für Schwachstellen. iDefense hat ein Advisory zu einer Schwachstelle im I2O Filter Utility Driver i2omgmt.sys von Windows XP veröffentlicht, das angemeldeten Benutzern die Ausführung beliebigen Codes mit Kernel-Rechten erlaubt. Die Schwachstelle wurde von Microsoft im SP3 für Windows XP behoben.

Von Microsoft selbst stammt die Meldung über mehrere Schwachstellen beim Verarbeiten von JPEG- und GIF-Bildern durch Windows CE, die die Ausführung beliebigen Codes erlauben. Patches stehen zur Verfügung.

Sturmmeldung

Das Internet Storm Center hat wieder eine eigene Übersicht über die veröffentlichten Patches erstellt. Wie nicht anders zu erwarten, steht darin bei der bereits ausgenutzten Schwachstelle in der Jet Database Engine "PATCH NOW". Dem ist wohl nichts hinzuzufügen. Also dann - nichts wie los!

Carsten Eilers

Übersicht der Meldungen auf 'Security aktuell':

• Zwei Schwachstellen in Word erlauben die Ausführung beliebigen Codes (MS08-026)
• Schwachstelle erlaubt die Ausführung beliebigen Codes (MS08-027)
• Stacküberlauf in der Jet Database Engine beim Parsen von MDB-Dateien erlaubt Ausführung beliebigen Codes (MS08-028)
• Zwei DoS-Schwachstellen in der Malware Protection Engine behoben (MS08-029)
• Schwachstelle im I2O Filter Utility Driver i2omgmt.sys von Windows XP erlaubt lokale Privilegieneskalation
• Mehrere Schwachstellen beim Verarbeiten von JPEG- und GIF-Bildern erlauben Ausführung beliebigen Codes