Thema: Sieben Sicherheitsmeldungen zu Microsofts Patchday

[SiLæncer]

Am kommenden Dienstag wird Microsoft insgesamt sieben Security-Bulletins veröffentlichen. Davon behandeln vier Schwachstellen in Windows und drei Sicherheitslecks im Office-Paket. Microsoft stuft die Tragweite mindestens eines der Bulletins als kritisch ein. Die am Dienstag ausgelieferten Updates werden einen Neustart des Systems erfordern.

Wie üblich gibt Microsoft nicht an, welche Schwachstellen am Patchday geschlossen werden. Es ist jedoch wahrscheinlich, dass der Softwarekonzern am Dienstag die Sicherheitslücken in Excel stopft. Kurz nach dem Juni-Patchday wurden Fehler in der Tabellenkalkulation bekannt, wodurch Angreifer mittels manipulierter Excel-Dateien Schadsoftware ins System einschleusen können. Außerdem tritt ein Pufferüberlauf mit gleichen Folgen durch überlange Links in den Tabellen auf. Eine mögliche dritte Schwachstelle betrifft eingebettete Objekte in Excel-Dokumenten. Und gerade meldet der Sicherheitsdienstleister Secunia ein viertes Problem in Excel, das wohl aber nur asiatische Versionen der Software betrifft. Dort können überlange Styles einen Pufferüberlauf provozieren.

Möglicherweise schließen ein oder mehrere der Patches zu den Windows-Security-Bulletins auch einige der diversen Sicherheitslücken im Internet Explorer. Der Metasploit-Entwickler H.D.Moore veröffentlicht im Rahmen seiner Aktion Month of the Browser Bugs (MoBB) im Juli täglich eine Schwachstelle in Webbrowsern. Einige der bis jetzt von ihm veröffentlichten Sicherheitslücken, etwa im ActiveX-Modul HHCtrl zur Anzeige von HTML-Hilfe-Dateien oder im ActiveX-Control ADODB, führen zumindest zum Absturz des Browsers. Angreifer könnten womöglich jedoch auch beliebigen Code durch die Lücken einschleusen.

Weiterhin steht ein Patch für eine von Plebo Aesdi Nael entdeckte Internet-Explorer-Lücke aus, durch die Angreifer Anwender dazu bringen könnten, als HTML-Applikationen verpackte Schadsoftware auf den Rechner herunterzuladen und auszuführen. Außerdem fand er einen Fehler im Cross-Domain-Schutz, wodurch Webseiten Inhalte anderer Seiten auslesen könnten.

Siehe dazu auch:

    * Microsoft Excel Style Buffer Overflow Vulnerability, Sicherheitsmeldung von Secunia
    * Microsoft Security Bulletin Advance Notification, Vorankündigung der Security-Bulletins von Microsoft

Quelle und Links : http://www.heise.de/newsticker/meldung/75175

[SiLæncer]

Microsoft hat wie vorab angekündigt anlässlich des Patch-Days im Juli insgesamt sieben Updates für Windows und seine anderen Produkte veröffentlicht. Allein drei der Updates schließen dieses Mal kritische Sicherheitslücken in Excel und/oder Office. Insgesamt schließen die sieben Updates 18 größtenteils kritische Lücken.

Nach dem Rekord von 13 Sicherheitsupdates im Juni , lässt es Microsoft im Juli etwas ruhiger angehen. Immerhin werden aber auch in diesem Monat stattliche sieben Sicherheitsupdates zum Download bereitgestellt. Streng genommen werden aber eigentlich 18 Lücken geschlossen, denn teilweise werden mit einem Update gleich mehrere Sicherheitsanfälligkeiten in einem Microsoft-Produkt aus der Welt geschafft. Besonders betroffen in diesem Monat: Excel und Office, wo Microsoft insgesamt 13 Lücken stopfen muss. Im Juni schlossen die 13 Sicherheitsupdates insgesamt über 20 Lücken.
 

Übrigens gilt es auch Abschied zu nehmen: Im Juni ´98 erschien Windows 98 und im September 2000 folgte Windows ME. Acht beziehungsweise sechs Jahre später beendet Microsoft mit dem heutigen Patch-Day ein für allemal die Unterstützung für die Windows-Veteranen. Wer nun auf Windows XP umsteigt, sollte gleich das Service Pack 2 installieren, denn im Oktober endet auch die Unterstützung für Windows XP mit SP 1.

Wir geben Ihnen einen Überblick über alle Sicherheitsupdates:

MS06-033
Betroffen: .Net Framework 2.0 unter Windows 2000 SP4, XP SP1/SP2, Server 2003
Schweregrad: wichtig
Ein Angreifer könnte den Sicherheitsschutz von ASP.NET umgehen, um unauthorisierten Zugriff auf Objekte im Anwendungsordner zu erhalten. Laut Angaben von Microsoft erlaubt diese Lücke dem Angreifer allerdings nicht, Programmcode ablaufen zu lassen oder seine Rechte auf dem angegriffenen Rechner zu erhöhen. Allerdings könnte der Angreifer an Informationen gelangen, die er für einen weiteren Angriff nutzen könnte.

MS06-034
Betroffen: Windows 2000 SP4, XP Professional SP1/SP 2, XP 64bit, Server 2003; Internet Information Services (IIS) 6.0, 5.1 und 5.0
Schweregrad: wichtig
Es wurde eine Sicherheitslücke entdeckt, durch die ein Angreifer mithilfe der Windows Internetinformationsdienste (ISS) per Fernzugriff in ein Windows-System eindringen und die Steuerung übernehmen könnte.

MS06-035
Sicherheitsanfälligkeit im Serverdienst kann Remotecodeausführung ermöglichen (KB 917159)
Betroffen: Windows 2000 SP4, XP SP1/SP2, XP 64bit, Server 2003
Schweregrad: kritisch
Es wurden Sicherheitslücken im Serverdienst entdeckt, durch die ein Angreifer per Fernzugriff in ein Windows-System eindringen, Code ausführen und die Kontrolle übernehmen könnte. Genau genommen schließt das Update zwei Lücken. Die "Sicherheitsanfälligkeit bezüglich eines Mailslot-Heapüberlaufs" wird als kritisch eingestuft, weil der Angreifer die Kontrolle über ein System übernehmen könnte. Die "Sicherheitsanfälligkeit durch Offenlegung von Informationen in SMB" wird dagegen mit einem "niedrig" bewertet.

MS06-036
Sicherheitsanfälligkeit im DHCP-Client-Dienst kann Remotecodeausführung ermöglichen (KB 914388)
Betroffen: Windows 2000 SP4, XP SP1/SP2, XP 64bit, Server 2003
Schweregrad: kritisch
Es wurde eine Sicherheitslücke im DHCP-Clientdienst entdeckt, durch die ein Angreifer per Fernzugriff in ein Windows-System eindringen, Code ausführen und die Kontrolle übernehmen könnte.

MS06-037
Sicherheitsanfälligkeit in Microsoft Excel kann Remotecodeausführung ermöglichen (KB 917285)
Betroffen: Excel 2000, 2002, 2003; Excel Viewer 2003; Excel 2004 & v. X (beide für Mac)
Schweregrad: kritisch
In Microsoft Office Excel 2003 existieren mehrere Sicherheitslücken, durch die Rechteerweiterungen möglich werden. Das Sicherheitsupdate schließt insgesamt acht Sicherheitslücken auf einem Schlag. Ein Angreifer könnte die Lücken ausnutzen, um die vollständige Kontrolle über einen Rechner zu übernehmen.
 
MS06-038
Sicherheitsanfälligkeiten in Microsoft Office können Remotecodeausführung ermöglichen (KB 917284)
Betroffen: Office 2003 SP1/SP2; Office XP SP3; Office 2000 SP3; Project 2000/2002; Visio 2002; Office 2004 & v. X (Mac)
Schweregrad: kritisch
In Microsoft Office 2003 existieren Sicherheitslücken, durch die Rechteerweiterungen möglich werden. Durch das Update werden drei derartige Sicherheitslücken gestopft. Wenn ein Anwender bei gefährdeten Versionen von Office mit administrativen Benutzerrechten angemeldet ist, könnte ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, vollständige Kontrolle über den Rechner erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

MS06-039
Sicherheitsanfälligkeit in Microsoft Office Filters kann Remotecodeausführung ermöglichen (KB 915384)
Betroffen: office 2003 SP1/SP2; Office XP SP3, Office 2000 SP3, Project 2002/2000, Works Suite 2004-2006
Schweregrad: kritisch
In Microsoft Office 2003, Microsoft Office Project 2003 und Microsoft Office OneNote 2003 existieren Sicherheitslücken, durch die ein Angreifer beliebigen Code auf einem Benutzersystem ausführen könnte. Das Update schließt zwei Lücken, durch die jeweils per manipuliertem GIF- oder PNG-Bild ein Angriff gestartet werden konnte.

Quelle : www.pcwelt.de

[SiLæncer]

Trotz des umfangreichen Sicherheits-Updates von Dienstag sind nicht alle bekannten Schwachstellen beseitigt.

Am 11. Juli hat Microsoft mit dem Security Bulletin MS06-037 mehrere Sicherheitslücken in Excel geschlossen. Trotzdem bleiben kritische Angriffsflächen in Excel, die sich zum Einschleusen von schädlichem Code eignen können. Für zwei bereits bekannte Schwachstellen sind bereits Demo-Exploits veröffentlicht worden.

Die erste Lücke basiert auf einer Anfälligkeit in der Windows-Systembibliothek "hlink.dll" ( wir berichteten ). Wenn es einem Angreifer gelingt, sein Opfer zu überzeugen in einem präparierten Excel-Dokument einen eingebetteten Link anzuklicken, kann dies zur Ausführung eingeschleusten Programm-Codes führen.

Microsoft betrachtet dies allerdings nicht als Excel-Schwachstelle sondern als Windows-Problem, da die betroffene DLL nicht zu Microsoft Office gehört. Möglicherweise lässt sich die Sicherheitslücke auch mit anderen Programmen ausnutzen, die diese Bibliothek verwenden. Ein Sicherheits-Update, das diese Anfälligkeit beseitigt, ist noch nicht verfügbar. Microsoft warnt davor, unverlangt zugesandte Office-Dokumente ungeprüft zu öffnen.

Die zweite Schwachstelle scheint vor allem Excel-Versionen in asiatischen Sprachen zu betreffen. Ein Angreifer kann mit einer präparierten Excel-Datei einen Pufferüberlauf provozieren. Dadurch kann eingeschleuster Programm-Code zur Ausführung gelangen. Bei einem bereits veröffentlichten Demo-Exploit müsste der Angreifer sein Opfer allerdings dazu bringen, die Excel-Datei reparieren zu wollen.

Microsoft untersucht beide Programmfehler und arbeitet an ihrer Beseitigung. Es darf also davon ausgegangen werden, dass es auch beim nächsten Patch Day am 8. August wieder Sicherheits-Updates für Microsoft Office geben wird. Möglich ist auch, dass Microsoft ein Update außer der Reihe bereit stellt, falls die genannten Anfälligkeiten in der Praxis für Angriffe ausgenutzt werden.

Quelle : www.pcwelt.de

[SiLæncer]

Für Microsoft-Office-Nutzer kommt es dicke: Erneut nutzen Angreifer kurz nach dem Patchday eine bislang unbekannte Schwachstelle in einem Programm der Bürosoftware-Suite aktiv aus. Dieses Mal hat Symantec eine manipulierte Powerpoint-Präsentation aufgespürt, die eine Variation der Backdoor Backdoor.Bifrose.E auf dem Rechner installiert. Symantec hat die schädliche Powerpoint-Präsentation Trojan.PPDropper.B getauft.

Die Angreifer scheinen noch ein Arsenal an missbrauchbaren Lücken in petto zu haben und nutzen nur wenige davon zur Zeit überhaupt aus. So können sie sicher sein, dass nach dem Patchday weiterhin Lücken für etwa vier Wochen offen stehen, die sie dann zum Einschleusen beliebigen Codes missbrauchen können.

Nachdem vor Jahren eine Zeit lang Makroviren in Office-Dateien als Einfallstor für Schadsoftware dienten, wurde diese Gefahr durch sinnvollere Voreinstellungen in den Programmen nahezu abgestellt. Seitdem stufen die meisten Anwender Office-Dokumente nicht mehr als potenziell schädlich ein und öffnen diese unbedacht. Dieses Verhalten wird auch dadurch begünstigt, dass Anwender etwa von Freunden häufig Witz-Dokumente zugeschickt bekommen. Der Virenscanner sollte schädliche Dokumente schließlich blockieren.

Andreas Marx von AV-Test warnt jedoch davor, auf Antiviren-Software zu vertrauen. In seinen Tests hat sich herausgestellt, dass zahlreiche AV-Hersteller lediglich eine Prüfsumme der entdeckten Dokumente für den Virencheck heranziehen. Ändert man nur ein Bit in dem Dokument, erkennen diverse Scanner den Schädling nicht mehr. Die anderen Antivirenhersteller bräuchten zuviel Zeit, bis sie generische Signaturen bereitstellen.

Bei den Schwachstellen in Excel, die nach dem Juni-Patchday ausgenutzt wurden, sprach Microsoft in seinem Sicherheitsblog lediglich von einer einzelnen Sichtung. Ein Update der Meldung hinsichtlich der Verbreitung und somit der Gefahr durch die Lücke fand nie statt – Marx hat aber inzwischen Kenntnis von mindestens 30 unterschiedliche Versionen manipulierter Dokumente, die bei Mitarbeitern von Unternehmen landeten. Privatanwender stehen bislang nicht im Visier der Versender der präparierten Office-Dokumente. Da diese bislang zumeist gezielt bei einzelnen Unternehmen eintreffen, ist die wahrscheinliche Motivation der Schädlingsbastler Industriespionage.

Gegenmaßnahmen zu treffen gestaltet sich schwierig: Da Office-Dokumente häufig zwischen Unternehmen ausgetauscht werden, ist an eine allgemeine Filterung am Gateway nicht zu denken. Das gezielte Herausfischen der manipulierten Dokumente gelingt nur bei bereits bekannten Exploits. Das Arbeiten mit eingeschränkten Benutzerrechten begrenzt zwar Schädlinge ebenfalls, sodass sie sich nicht tief im System verstecken können. Die eigenen Office-Dokumente lesen, versenden oder zerstören können sie trotzdem, auch können sie sich in die Autostarts des Benutzers eintragen.

Mit dem Einsatz eines stets aktualisierter Virenscanners von einem anderen Hersteller als des Gateway-Scanners kann man jedoch möglicherweise erreichen, dass Schaddokumente von einer der beiden Lösungen erkannt werden. Der NX-Speicherschutzes – auch nur als Softwarelösung – kann helfen, die Auswirkungen von Pufferüberläufen zu minimieren, empfiehlt Marx. Schließlich bleibt noch die Aufklärung der Mitarbeiter – während die meisten Anwender wissen, dass eine .exe-Datei nicht ausgeführt werden sollte, ist das Bewusstsein über schädliche Office-Dokumente meist nicht vorhanden.

Quelle : www.heise.de

[SiLæncer]

Der von heise Security am 13.7.2006 gemeldete  Zero-Day-Exploit für Microsoft Powerpoint zieht immer weitere Kreise. Das  Internet Storm Center meldet, dass mittlerweile mehrere Proof-of-Concept-Demos veröffentlicht wurden. Sie bringen Powerpoint zwar bislang nur zum Absturz, eine Weiterentwicklung zum Einschleusen und Ausführen von Code dürfte jedoch nicht mehr lange auf sich warten lassen.

Microsoft hat im Technet bereits Stellung bezogen und versichert, dass sein Office Team alarmiert wurde und sich damit befasse. Für Montag plane man ein Advisory mit näheren Informationen herauszugeben. Das wird dann hoffentlich auch Aufschluss darüber geben, welche Office-Versionen konkret betroffen sind.

Bei Antivirensoftware bleibt weiterhin offen, ob die jeweils zum Aufspüren benutzten Signaturen nach Modifikation infizierter Powerpoint-Dateien noch zur sicheren Erkennung taugen. Da derzeit auch immer noch nicht klar ist, ob der Exploit nicht womöglich auch bei Benutzung eines Viewers für PPT-Dateien funktioniert, lautet die simple Warnung des US-CERT derzeit: Finger weg von PPT-Dateien, über die keine verlässlichen Informationen vorliegen.

Quelle : www.heise.de

[SiLæncer]

Microsoft hat eine Sicherheitsmeldung zu den jüngst ausgenutzten Schwachstellen in Powerpoint herausgegeben. Die Lücke wurde vergangene Woche bekannt, woraufhin weiterer Demonstrationscode im Netz auftauchte.

Laut der Sicherheitsmeldung hat Microsoft inzwischen einen Patch entwickelt, der jetzt noch auf Kompatiblität und Stabilität getestet wird. Er soll am nächsten Patchday am 8. August, möglicherweise aber auch früher erscheinen.

Betroffen von dem Sicherheitsleck sind Powerpoint 2000, 2002 und 2003. Um den Fehler in der Anwendung auszulösen, müssen Anwender manipulierte Dokumente öffnen; aus Outlook oder aus dem Internet Explorer heraus geschehe dies nur bei Powerpoint 2000 automatisch, heißt es bei Microsoft.

Microsoft empfiehlt, Powerpoint-Präsentationen aus fremden oder unbekannten Quellen vorerst nur mit dem Powerpoint-Viewer zu öffnen, da der anfällige Code darin nicht enthalten sei. Falls es nicht möglich ist, auf den Viewer auszuweichen, sollten Anwender Präsentationen aus unbekannten oder nicht vertrauenswürdigen Quellen gar nicht öffnen.

Siehe dazu auch:

    * Vulnerability in PowerPoint Could Allow Remote Code Execution, Sicherheitsmeldung von Microsoft
    * Download des Powerpoint Viewer 2003


Quelle und Links : http://www.heise.de/security/news/meldung/75585

[Jürgen]

Der Viewer 2003 unterstützt auch jetzt noch offiziell Win98