Patchday: Update-Flut von Microsoft

Zwei der 13 Updates betreffen MS Office. Eines widmet sich einem Pufferüberlauf in der Bibliothek mso.dll, das andere dichtete immerhin sechs Schwachstellen in Powerpoint ab. Sie alle taugen zum Einschleusen von Code, tragen aber nur die Sicherheitseinstufung hoch und nicht kritisch, da der Anwender aktiv werden und eine manipulierte Office-Datei öffnen muss.

Die übrigen Lecks sind in Windows beziehungsweise Windows-Komponenten zu finden. So werden mit einem Update mal wieder Killbits für verschiedene ActiveX-Controls gesetzt, mit anderen werden Lecks im SMB-Client, der Windows Shell und der TCP/IP-Implementierung von Windows geschlossen. Alle diese Lecks werden als kritisch eingestuft, ebenso wie ein Fehler in DirectShow, das bestimmte AVI-Dateien nicht richtig verarbeitet.

Abgesehen von einem Fehler in Microsoft Paint, der die Einstufung mittel trägt, tragen die übrigen vier Updates die Einstufung hoch. Mit ihnen behebt Microsoft ein Problem im Kerberos-Protokoll, das für DoS-Angriffe genutzt werden kann, vier Fehler im SMB-Server, über die Code eingeschleust werden kann, und eine Schwachstelle im Client/Server-Runtime-Subsystem von Windows, durch das sich ein Angreifer zusätzliche Rechte sichern kann.

Während hier jeweils Client- und Server-Versionen von Windows betroffen sind, gibt es das letzte Update nur für Windows Server 2008 und Windows Server 2008 R2. Dessen Virtualisierungsplattform Hyper-V prüft bestimmte Befehle nicht richtig und lässt sich dadurch via DoS-Angriff außer Gefecht setzen.

Seit dem Dezember-Patchday gibt Microsoft auch an, welche Updates am wichtigsten sind und als erstes eingespielt werden sollten. Dieses Mal sind es die Updates für SMB-Client, Windows-Shell, ActiveX, DirectShow und Windows-Kernel – sie haben die Deployment Priority 1. (Daniel Dubsky)