Patch-Dienstag März 2011

Mit den drei Sicherheitsbulletins des allmonatlichen Patch-Dienstags sollten diesmal vier Sicherheitsanfälligkeiten geschlossen werden. Zwei dieser Bulletins betreffen Windows, während die anderen Office adressieren. Von den Sicherheitslücken in Windows betroffen sind alle aktuell unterstützten Client-Betriebssysteme. Die einzige kritische Sicherheitsanfälligkeit in diesem Monat wurde in Windows Media gemeldet. Eine in böswilliger Absicht gestaltete DVR-MS-Datei kann Remotecodeausführung ermöglichen.

Die hiervon betroffenen Produkte sind Windows Media, Groove und Remote Desktop. Für zwei Sicherheitslücken in Windows Media wurde ein Fix bereitgestellt. Bei allen drei Produkten wurde die wohlbekannten Anfälligkeit „Nicht sicheres Laden von Bibliotheken“, die in der Vergangenheit immer wieder beobachtet werden konnte, festgestellt. Angesichts der betroffenen Programme und ihrer Funktionsweise eignen sich diese Sicherheitsanfälligkeiten kaum für eine Ausnutzung im großen Stil.

Diese Sicherheitsanfälligkeit hängt mit der Art und Weise zusammen, wie Programme Bibliotheksdateien (DLLs) laden, wenn sie gelesen werden. Anstatt die Bibliotheken von vordefinierten Speicherorten zu laden, versuchen infizierte Programme zunächst, ihre Bibliotheken aus demselben Netzwerkordner zu öffnen wie die Datei, die sie zu lesen versuchen. Indem er eine schädliche Bibliotheksdatei mit einem im Vorfeld festgelegten Namen in demselben (Remote)-Verzeichnis wie die mit dem jeweiligen Programm verbundene Datei platziert, wird der Angreifer in die Lage versetzt, Code auszuführen.

Damit ein Angriff erfolgreich ist, muss der Benutzer dazu verleitet werden, eine Datei, die mit diesen Programmen zusammenhängt, manuell ausführen, wie unter anderem z.B. eine DVR-MS-Datei für Windows Media und eine RDP-Datei für Remote Desktop. Diese Sicherheitsanfälligkeiten bezüglich des nicht sicheren Ladens von Bibliotheksdateien werden als schwerwiegend eingestuft.

Einige bekannte Schwachstellen spielten bei dem Patch-Dienstag des laufenden Monats keine Rolle, darunter ein Patch für CVE-2011-0096 sowie ein Patch für die Sicherheitslücke im Windows Browser Protocol. Zwar handelt es sich bei CVE-2011-0096 ‚nur’ um eine XSS-Lücke, dennoch sollte ihre Bedeutung nicht unterschätzt werden. In Massenangriffen zwar nur selten verwendet, hat sie bei zielgerichteten Attacken sicherlich ihren Sinn und Zweck. Hoffentlich kann Microsoft diese Lücke im nächsten Monat beheben. Die Sicherheitsanfälligkeit im Windows Browser Protocol ist extrem schwierig erfolgreich auszunutzen, und Microsoft wird eine Menge QS-Arbeit leisten müssen, um sie zu patchen. So ist es wenig überraschend, dass das Bulletin von diesem Monat kein Fix enthielt.

Wie immer empfehlen wir, diese Patches so schnell wie möglich zu installieren.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.