Microsoft wird heute voraussichtlich 10 Uhr PDT (das ist 19 Uhr bei uns) einen kritischen Patch für die Windows-Versionen 2000, XP und Server 2003 veröffentlichen. Das kündigte Konzernsprecher Christopher Budd gestern in einem Blog-Eintrag beim Microsoft Security Response Center (MSRC) an; ein entsprechendes Security Advisory ist auch schon erschienen. Zuletzt hatte es im April 2007 einen Patch außer der Reihe gegeben, der eine Sicherheitslücke bei der Behandlung animierter Cursor-Dateien (.ani) behob.
Die noch nicht näher beschriebene Schwachstelle, die der angekündigte Patch korrigieren soll, ermöglicht Angreifern die Ausführung eigenen Codes. Das wird grundsätzlich mit der höchsten Sicherheitswarnstufe "kritisch" eingestuft.
Die aktuellsten Windows-Versionen Vista und Server 2008 sind ebenfalls betroffen, allerdings offenbar weniger gravierend, da die Einstufung hier nur auf "wichtig" lautet.
Update (23. Oktober, 20.05 Uhr): Inzwischen hat Microsoft ein Security Bulletin mit den detaillierten Informationen zu der Schwachstelle veröffentlicht. Diese wurde dem Konzern privat gemeldet und betrifft den Server-Dienst der genannten Windows-Versionen. Ein Angreifer kann über eine bösartige manipulierte RPC-Anfrage (Remote Procedure Call) beliebigen Code zur Ausführung bringen ("Remote Code Execution"), im Falle von Windows 2000, XP und Server 2003 sogar ohne Authentifizierung.
Microsoft zufolge wird die Sicherheitslücke bereits aktiv ausgenutzt, wenn auch bislang nur gezielt und in beschränktem Umfang. Nähere Details nennt der Konzern aus verständlichen Gründen nicht.
Das neue Bulletin mit der Nummer MS08-067 ersetzt für einige der betroffenen Systeme das ältere Bulletin MS06-040. Das legt die Vermutung nahe, dass es sich um eine eigentlich schon etwa zwei Jahre alte Sicherheitslücke handelt, die seinerzeit nur unvollständig gestopft wurde.
Die Schwachstelle lässt sich nach Angaben des Herstellers wohl auch für einen sich weiterverbreitenden ("wormable") Exploit nutzen. Microsoft empfiehlt (routinemäßig) eine korrekt konfigurierte Firewall, um potenziell gefährdete Windows-Rechner in Firmennetzen gegen externe Angriffe abzuschotten.
Der FAQ-Sektion des Bulletins zufolge betrifft die Schwachstelle übrigens auch Pre-Beta-Versionen von Windows 7 (die vor allem Microsoft-intern laufen dürften). Hier ist sie allerdings - wie bei Vista und Server 2008 auch - "nur" als "wichtig" eingestuft, da sie nicht ohne Authentifizierung funktioniert.
Microsoft rät allen Kunden, den über Windows/Microsoft Update und WSUS verfügbaren Patch umgehend zu installieren.
