Nach dem ausgefallenen Patchtag im März kam es für Microsoft im April richtig dicke. So dicke, dass ein außerplanmäßiger Patch für eine Lücke im GDI Subsystem bereits eine Woche vor dem planmäßigen Patchtag veröffentlicht werden musste. Ein Patch für eine Lücke, die bereits seit Dezember bei MS bekannt war, ein Patch, der bereits seit mindestens drei Monaten bei MS quasi in der Schublade lag, ein Patch, der eine seit längerem ausgenutzte Sicherheitslücke stopfte, ein Patch für eine Sicherheitslücke, die das Ausführen von beliebigem Code bereits bei puren Anzeigen einer Webseite(nahezu unabhängig vom verwendeten Browser) oder einer Mail erlaubt. Und was ist die Begründung aus dem Hause MS dafür, dass der Patch erst jetzt kam? Sinngemäß: "Da die Lücke sich im GDI System befindet, einer essentiellen Komponente, müssten vor der Veröffentlichung besonders intensive Tests durchgeführt werden, um Inkompatibilitäten mit anderer Software zu vermeiden". Wie intensiv diese Tests wohl waren, sieht man daran, das es sehr kurz nach Verfügbarkeit des Hotfix einen Patch für den Patch gab, der Probleme mit Elster und dem Realtec Sound Manager fixte… Hoffen wir, dass die Patche, die es heute zum offiziellen Patchtag gibt, noch intensiver getestet wurden. Die offizielle Zusammenfassung gibt es hier: Security Bulletin April 07 MS07-017: Wurde bereits letzte Woche außerplanmäßig veröffentlich und beseitigt insgesamt sieben Lücken im GDI System. Einige davon sind nur lokal ausnutzbar, wenn der Angreifer über eine Account auf dem System verfügt, die gefährlichste Lücke jedoch entsteht durch die fehlerhafte Verarbeitung von .ani oder Icon Dateien und kann bereist beim Besuch einer Webseite oder das Öffnen einer Mail zur Ausführung von beliebigem Code genutzt werden. Dabei ist es unerheblich, welcher Browser genutzt wird, da alle grafischen Browser auf die entsprechenden Windowsfunktionen zurückgreifen. Nach der Installation dieses Patches kann es zu Problemen mit einigen Anwendungen kommen, die in http://support.microsoft.com/kb/935448/DE/ genannt sind. Dort ist auch ein passender Patch zum Patch verlinkt, dessen Installation eigentlich grundsätzlich präventiv erfolgen sollte. MS07-018: Betrifft nur Admins, die den MS Content Management Server einsetzen und beseitigt in selbigen zwei Lücken, darunter eine Cross–Site Scripting Verwundbarkeit. MS07-019: Ein Patch für Windows XP SP2 mit aktivem "Universal Plug and Play" Dienst. Per Default startet dieser Dienst zwar nicht automatisch, durch die Installation von Drittanbietersoftware kann es jedoch dazu kommen, dass der Dienst unbemerkt mitgestartet wird. Im Normallfall verhindert die XP Firewall Zugriffe von aussen auf den UPnP Dienst, auch müsste sich ein Angreifer im selben Subnet wie das angegriffene System befinden, trotzdem empfiehlt sich die Installation des Patches, denn immerhin ist darüber das Ausführen von beliebigem Code mit den Rechten des "Local Serviceaccounts" möglich. MS07-020: Bei Windows 2000 und XP erlaubt der MS Agent beim Besuch einer "bösartigen Webseite das Ausführen von Schadcode mit den Rechten des angemeldeten Users. Benutzer, die ständig mit Adminrechten unterwegs sind, haben im Schadensfall so richtig verloren. MS07-021: Damit sich Vista Benutzer nicht in falscher Sicherheit wiegen, gibt es neben MS07-017 auch noch diesen Patch für sie, der für alle noch offiziell unterstützte Windows Versionen verfügbar ist und drei Probleme im CSRSS (Client/Server Runtime SubSystem) beseitigt. Teilweise natürlich wieder remote durch den Besuch der passenden Webseite ausnutzbar und dann auch zur kompletten Übernahme des Systems geeignet. Kommentare zu "Das sicherste Windows aller Zeiten" und der UAC verkneife ich mir an dieser Stelle. MS07-022: Zu guter letzt noch etwas für W2K und XP Nutzer. Ein lokal angemeldeter User kann sich (wieder einmal) höhere Rechte verschaffen, wenn dieser Patch nicht installiert ist. Und das war es im April. Ganz ohne Aprilscherz. Viel Spass beim Patchen. Ach ja, natürlich gibt es auch eine neue Version des "Tools zum Entfernen bösartiger Software".
|
|||