Patch-Day bei Microsoft deckt 20 Sicherheitslöcher auf

Der monatliche Patch-Day ist im Hause Microsoft inzwischen zur guten Tradition geworden. Dieses mal haben die Redmonder gleich 20 Sicherheitslecks im Windows-Betriebssystem aufgedeckt, die in vier Security-Bulletins zusammengefasst sind. Entsprechend hat der Softwaregigant vier Patches ausgegeben, die die Lücken stopfen sollen. Der Konzern selbst bezeichnet drei der Sicherheitslöcher als “kritisch”.
“Gelingt es einem Angreifer, die schwerwiegendsten Sicherheitsanfälligkeiten erfolgreich auszunutzen, kann er die vollständige Kontrolle über die betroffenen Systeme erlangen”, warnt der Konzern seine Nutzer. Der Angreifer sei dann in der Lage “beliebige Aktionen auf dem System auszuführen”. Im Klartext heißt das, wer die Sicherheitslöcher richtig zu nützen weiß, kann in einem fremden System Daten löschen, Programme installieren und neue Benutzerkonten mit Administratorenrechten anlegen.

Im umfassendsten Security Bulletin, MS04-011, warnt Microsoft vor gleich 14 Sicherheitslücken, die die unterschiedlichsten Windows-Varianten betreffen. Die Löcher befinden sich unter anderem im Logon-Dienst, im Task-Manager, in der ASN.1-Library und im ‘Local Security Authority Subsystem Service’ (LSASS). Abhilfe sollen die bereitgestellten Patches für Windows 98, 98 SE, Millennium, NT 4.0, 2000, XP und Server 2003 schaffen.

Ein zweites Bulletin, MS04-012, beschreibt vier Sicherheitslücken in der Windows-Komponente RPC/DCOM. Auch durch diese Schlupflöcher kann sich ein Angreifer Kontrolle über ein System verschaffen. Für die betroffenen Windows-Versionen NT 4.0, 2000, XP und Server 2003 stehen ebenfalls Patches zum Download bereit. Diese beheben auch eine frühere RPC-Sicherheitslücke, über die sich der Blaster-Wurm vor einiger Zeit massiv verbreiten konnte.

Das dritte Security-Bulletin, MS04-013, betrifft eine Schwachstelle im Outlook Express, die ebenfalls als kritisch eingestuft wird. Über speziell formatierte MHTML-URLs kann das Sicherheitszonen-Modell von Outlook Express ausgehebelt werden, so dass ein Angreifer in der lokalen Sicherheitszone mit den Rechten des angemeldeten Nutzers agieren kann. Patches stehen für Outlook-Express 5.5 und 6.0 zur Verfügung, sie beseitigen auch frühere Sicherheitslücken in dem E-Mail-Client.

Das nur als “wichtig” eingestufte Security-Bulletin MS04-014 betrifft schließlich eine Sicherheitslücke im Jet-Datenbankmodul der Version 4.0. Indem speziell formatierte Datenbankbefehle an Jet gereicht werden, kann ein Angreifer mittels eines Buffer Overrun beliebigen Programmcode auf einem fremden System ausführen.

“Wer seine persönliche Firewall pflegt, reduziert das Risiko, das durch diese Schwachstellen entsteht”, beschwichtigt Stephen Toulouse, Security Program Manager im Microsoft Security Response Center, die Anwender. Man nehme die Probleme aber sehr ernst. Sicherheitsexperten kritisieren jedoch Microsofts Strategie, mit der Herausgabe von Patches solange zu warten, bis mehrere Sicherheitslösungen gebündelt werden können. Offenbar stehe hier die Wirkung in der Öffentlichkeit mehr im Vordergrund als die Sicherheit der Nutzer.