MÜNCHEN (COMPUTERWOCHE) - Mit dem monatlich erscheinenden Security Bulletin, das seit gestern Abend für den Februar zur Verfügung steht, liefert Microsoft Patches zur Beseitigung gravierender Sicherheitslücken in Windows und dem Browser Internet Explorer. Vor dem Windows-Leck, über das Angreifer komplette Netzwerke übernehmen können, warnte der IT-Sicherheitsdienstleister eEye Digital Security allerdings bereits vor einem halben Jahr.
Durch einen ungeprüften Speicherbereich in der Bibliothek "ASN.1" (Abstract Syntax Notation 1), die Funktionen zur Normierung und Austauschbarkeit von Daten über verschiedene Plattformen bietet, lässt sich über Remote-Verbindungen ein Speicherüberlauf ausführen. Daraufhin können Angreifer beliebigen Code mit Administratorrechten auf betroffenen Systemen ausführen, Daten ändern und löschen, sowie Programme installieren und starten. Microsoft empfiehlt, den jetzt verfügbaren Patch (Security Bulletin MS04-007) unverzüglich einzuspielen.
Ein weiteres Leck steckt im Windows Internet Naming Service (WINS). Er ermöglicht ebenfalls das Ausführen von Schadroutinen über Remote-Verbindungen. Es ermöglicht Angreifern zudem, mit Windows Server 2003 betriebene Rechner durch DoS-Attacken (Denial of Service) lahm zu legen. Dazu führt laut Microsoft kurioserweise eine Sicherheitsfunktion, die Versuche zur Ausnutzung eines stackbasierenden Pufferüberlaufs erkennt und dadurch das Ausführen unerwünschten Codes verhindern soll. WINS wird zwar bei Standard-Installationen nicht eingerichtet, Microsoft empfiehlt dennoch das Einspielen des entsprechenden Patches (Security Bulletin MS04-006).
In beiden Fällen sind die Windows-Versionen NT, 2000, XP und Server 2003 inklusive der 64-Bit-Editionen betroffen.
Eine weitere Sicherheitslücke wurde in der Rechner-Emulationssoftware "Virtual PC" entdeckt. Sie steckt in den Versionen 6.0, 6.01, 6.02 und 6.1 für Macintosh. Schadroutinen lassen sich als temporäre Dateien tarnen und in das System einschleusen. Durch einen Fehler in der Behandlung der Dateien wird der eingeschmuggelte Code mit Systemrechten ausgeführt. Obwohl Angreifer dazu ein gültiges Nutzerkonto benötigen und sich lokal anmelden müssen, stuft Microsoft das Risiko als hoch ein. Updates, die das Problem beheben sollen, stehen zur Verfügung (Security Bulletin MS04-005).
Des Weiteren hat Microsoft ein Update für einen Patch herausgebracht, der erstmals am 11. November 2003 erschienen ist und "Cross-Site-Scripting"-Lücken im Internet Explorer beseitigt. Über diese lassen sich Schadroutinen auf betroffene Systeme einschleusen, indem Online-Anfragen auf Websites Dritter umgelenkt und die Sicherheitseinstellungen betroffener Nutzer manipuliert werden (Computerwoche.de berichtete). Betroffen sind die Browser-Versionen 5.01 bis 6.0 inklusive Service Pack 1). Die neue Patch-Version (Security Bulletin MS04-004) beseitigt ein Problem bei der Verarbeitung bestimmter URL-Typen (Uniform Resource Locator) und beseitigt weitere Fehler, die das domänenübergreifende Sicherheitsmodell, Drag-&-Drop-Aktionen im Zusammenhang mit DHTML (Dynamic HTML) und so genanntes URL-Spoofing
(Computerwoche.de berichtete) betreffen, bei dem sich Anwendern gefälschte Websites unterschieben lassen. (lex)