Microsofts Patchday beschert uns 10 Patches

Am Juni-Patchday wurden von Microsoft wie angekündigt 7 Security Bulletins veröffentlicht, mit denen 10 Schwachstellen behoben wurden. Nur 2 davon waren zuvor öffentlich bekannt, eine etwas kuriose allerdings dafür schon seit dem Januar 2007.

3 Kritische Bulletins, 5 Patches

Drei der Bulletins wurden von Microsoft als insgesamt kritisch eingestuft, und alle kritischen Schwachstellen waren zuvor nicht öffentlich bekannt. Entsprechend gibt es (noch) keine Exploits, aber die lassen erfahrungsgemäß ja nicht lange auf sich warten. Womit ist also zu rechnen?

Das erste kritische Bulletin ist MS08-030: Eine Schwachstelle im Bluetooth-Stack von Windows XP SP2/SP3 sowie Vista und Vista SP1 erlaubt die Ausführung beliebigen Codes. Ursache ist ein Fehler bei der Verarbeitung einer großen Anzahl von Service Discovery Protocol (SDP) Paketen.
Vom Security Vulnerability Research & Defense Blog gibt es zusätzliche Informationen über die notwendigen Voraussetzungen für eine Ausnutzung der Schwachstelle: MS08-030: All bark and no bite? The case of the Bluetooth update.

Das zweite kritische Bulletin ist MS08-031, das zwei Schwachstellen im Internet Explorer betrifft. Eine zuvor nicht veröffentlichte Schwachstelle beim Verarbeiten einer Webseite mit unerwarteten Methodenaufrufen für HTML-Objekte erlaubt die Ausführung beliebigen Codes. Die Zero Day Initiative hat zu dieser Schwachstelle ein eigenes Advisory veröffentlicht.
Die zweite Schwachstelle, deren Gefahrenpotenzial von Microsoft als "hoch" eingestuft wird, ist bereits seit März bekannt und erlaubt HTTP-Request-Splitting- und -Smuggling-Angriffe. Die Schwachstelle (die eigentlich aus mehreren besteht) wurde von Stefano Di Paola entdeckt, der bereits im März eigene Advisories veröffentlicht hat: "[MSA01240108] IE7 Transfer-Encoding: chunked allows Request Splitting/Smuggling" und "[MSA02240108] IE7 allows overwriting of several headers leading to Http request Splitting and smuggling".

Den Abschluß bei den kritischen Bulletins bildet MS08-033: Zwei Schwachstellen in DirectX erlauben die Ausführung beliebigen Codes durch präparierte Media-Dateien. Ursache ist eine Schwachstelle in der Fehlerprüfung beim Verarbeiten von MJPEG-Streams aus AVI- oder ASF-Dateien sowie eine Schwachstelle beim Parsen der Parameter von Synchronized Accessible Media Interchange (SAMI) Dateien.
Eine der Schwachstellen wurde von der Zero Day Initiative entdeckt, die bereits ein eigenes Advisory veröffentlicht hat. Microsofts Security Vulnerability Research & Defense Blog weist in einem Eintrag auf mögliche Probleme mit dem Bulletin hin: MS08-033: So what breaks when you ACL quartz.dll?

3 Wichtige Bulletins, 4 Patches

Alle mit den drei als wichtig eingestuften Security Bulletins behobenen Schwachstellen waren zuvor nicht öffentlich bekannt. Den Anfang macht das Bulletin MS08-034: Eine Schwachstelle im Windows Internet Name Service (WINS) von Windows 2000 Server und Windows Server 2003 erlaubt lokalen Benutzern das Ausführen beliebigen Codes mit System-Rechten.

Auf 34 folgt 35, entsprechend ist das nächste wichtige Security Bulletin MS08-035, mit dem eine DoS-Schwachstelle in den verschiedenen Implementierungen von Active Directory behoben wurde:

Active Directory unter Windows 2000 Server, Server 2003 und Server 2008;
Active Directory Application Mode (ADAM) unter Windows XP Professional und Server 2003;
Active Directory Lightweight Directory Service (AD LDS) unter Windows Server 2008.

Ursache ist ein Fehler beim Verarbeiten präparierter LDAP-Requests.

Das letzte der drei wichtigen Security Bulletins ist (wie kaum anders zu erwarten) MS08-036, mit dem zwei DoS-Schwachstellen im Pragmatic General Multicast (PGM) Protokoll behoben wurden. Ursache ist die unzureichende Prüfung des Längenfeldes in PGM-Paketen, was zu einer Endlosschleife führen kann, sowie ein Fehler beim Verarbeiten von Paketen mit ungültigen Fragment-Optionen.
Wer sich jetzt ebenso wie ich beim ersten Lesen des Bulletins fragt, was dieses PGM den überhaupt ist und wofür man das braucht: Keine Angst, anscheinend muss man das nicht unbedingt wissen. Auch die meisten Mitarbeiter vom Security Vulnerability Research & Defense Blog wussten es nicht, und PGM klingt ja auch eher nach einem exotischen Grafikformat als nach einem Netzwerkprotokoll. Wie man im Blog nachlesen kann, handelt es sich dabei um ein Multicast-Transport-Protokoll, das sogar in einem RFC (RFC 3208) standardisiert wurde: MS08-036: PGM? What is PGM?. Ach so: Ein gleichnamiges Grafikformat gibt es übrigens auch: Portable Graymap

1 Patch fehlt noch: Das moderate Bulletin

Wer bis hierher aufmerksam mitgelesen hat, wird ein Bulletin vermissen: MS08-032. Rein numerisch gehört das zwischen MS08-031 und MS08-033 und damit zu den kritischen Bulletins, aber Microsoft schätzt das Gefahrenpotenzial dieser schon seit Januar 2007 bekannten Schwachstelle nur als moderat ein. Das ist mehr, als der zugehörige CVE-Eintrag erwarten ließe, denn darin bestreitet Microsoft noch, dass es überhaupt eine Schwachstelle ist. Worum es überhaupt geht? Dazu ein Zitat aus dem Standpunkt Sicherheit vom 5. Februar 2007:

'And now for something completely different':
Bitte nicht mit dem Computer sprechen
Windows Vista kommt mit einer verbesserten Spracherkennung daher. So weit, so gut. Insbesondere ist es möglich, den Computer über Sprachbefehle zu steuern. Auch eine feine Sache. George Ou befürchtet, dass bei aktivierter Spracherkennung von z.B. Webseiten ausgegebene Audiodateien Befehle ausführen lassen können. Das ist nun weniger schön. Zum Glück ist eine Ausnutzung sehr unwahrscheinlich, wenn auch nicht unmöglich. Man stelle sich einen Trojaner vor, der eine entsprechende Audiodatei irgendwann nachts in einem dann ruhigen Großraumbüro abspielt und dadurch die Kontrolle über sämtliche Rechner im Raum übernimmt. Wenn die Spracherkennung und -steuerung wirklich so gut ist, würde ich mir allerdings mehr Gedanken über einen Spaßvogel machen, der im Vorbeigehen ein freundliches "starte command.com format c: return" herüberruft...

Auch wenn die Ausnutzung ziemlich unwahrscheinlich erscheint, ist es eine Schwachstelle. Das hat auch Microsoft inzwischen eingesehen, und um auf Nummer Sicher zu gehen dem entsprechenden ActiveX-Control nun ein gesetztes Kill-Bit spendiert. Das verhindert aber nur, dass eine bösartige Webseite die Spracherkennung aktiviert und dann darüber Befehle ausführt. Eine laufende Spracherkennung kann weiterhin ausgenutzt werden, z.B. vom oben erwähnten Spaßvogel. Diese Gefahr dürfte aber verschwindend gering sein, sofern man nicht z.B. auf dem Bahnhhof oder auf einer Konferenz mit der Spracherkennung arbeitet.

Außerdem setzt Microsoft auch noch das Killbit für ein ActiveX-Control eines Drittanbieters: BackWeb weist in einem Advisory auf eine Schwachstelle hin, für die ein Update veröffentlicht wurde. Durch das Setzen des Killbits wird verhindert, dass Rechner über eine nicht aktualisierte Version angegriffen werden.

Zu guter Letzt: Die Sturmmeldung

Das Internet Storm Center hat auch diesmal wieder eine eigene Übersicht über die veröffentlichten Patches erstellt. Für den Internet Explorer gibt es mal wieder die Aufforderung "PATCH NOW", ansonsten gibt es keine Auffälligkeiten. Da die meisten Schwachstellen bisher nicht bekannt waren, gibt es außer für die HTTP-Request-Splitting/Smuggling-Angriffe im Internet Explorer noch keine Exploits. Die möglichen Angriffe über die Spracherkennung wurden damals zwar einige Zeit diskutiert, praktische Angriffe sind aber nicht bekannt geworden. Trotzdem sollte der entsprechende Patch wie auch alle anderen schnellstmöglich eingespielt werden. Also dann: Los gehts!

Carsten Eilers