Letzten Monat hatte MS ein Tool namens MOICE vorgestellt, das durch Konvertierung der klassischen Office Formate in das neue Office XML Format Sicherheitsprobleme beseitigen sollte. Wer sich darauf verließ, schoss ein klassisches Eigentor, denn prompt gibt es heute Patches für Sicherheitslücken in Excel 2007 sowie dem Office Compatibility Pack, mit dem man älteren Office Versionen den Umgang mit den neuen Formaten beibringt. Und Überraschung, die ausgenutzte Lücke eignet sich zur Ausführung von beliebigem Code… Langsam stellt sich die Frage, welches Format und welche Programme sich noch zum sicheren Datenaustausch eignen. PDF Dateien sind im Hinblick auf den Acrobat Reader sicherheitstechnisch auch nicht gerade das Nonplusultra, von der weiteren Bearbeitung mal zu schweigen, OpenOffice wird auch des öfteren mit Sicherheitspatches bedacht, die MS Implementation von RTF musste auch schon gepatcht werden und reiner Text eignet sich nicht immer. Wie dem auch sei, die offizielle Zusammenfassung gibt es hier: Security Bulletin Juli 07 MS07-036: Beseitigt gleich drei Lücken in Excel 2000 bis 2007 und dem Office Compatibility Pack, die sich nahezu alle zum Ausführen von beliebigem Schadcode eignen. Das Öffnen einer Excel Datei reicht für die erfolgreiche Infektion aus. MS07-037: Der Publisher in der Version 2007 ist für einen ähnlichen Angriff wie Excel verwundbar. Für Anwender dieses Programms gehört der Patch zum Pflichtprogramm. MS07-038: Die Vista Firewall erlaubt einem Angreifer, sich über in IPv4 getunnelte IPv6 Pakete Informationen über das Vista System zu verschaffen. Dafür reicht es aus, auf einer Webseite einen dafür vorbereiteten Link mit einer IPv6 Adresse anzuklicken, wodurch ein Mechanismus namens Teredo aktiviert wird, der dann via UDP einige Systeminformationen verfügbar macht. Welche das im Einzelnen sind, darüber schweigt sich MS leider aus, stuft die Gefahr aber als "Moderat" ein. Viel mehr als "da ist ein Vista System" sollte sich aber nicht in Erfahrung bringen lassen. Trotzdem sollte man den Patch auf jeden Fall installieren. Wäre ja nicht das erste Mal, dass eine Einstufung nachträglich geändert werden muss. MS07-039: Der LDAP Dienst von Windows Server 2000 und 2003, Grundlage für ein Active Directory, hat Probleme bei der Verarbeitung von präparierten LDAP-Anfragen. Selbige können genutzt werden, um das Active Directory unbenutzbar zu machen, oder, was für einen Angreifer interessanter sein dürfte, beliebigen Code auszuführen sowie User anzulegen,. Proigrammezu installieren und so weiter und so fort. Für jeden Admin eines Active Directory ist dieser Patch ein absolutes Muss. MS07-040: Die Net Frameworks in den Versionen 1, 1x bis 2 weisen drei Sicherheitslücken auf, die allesamt zur Ausführung von Schadcode geeignet sind. Aufruf der passenden Webseite reicht aus, also wäre der Verzicht auf diesen Patch nicht die beste Idee. MS07-041: Betrifft nur den IIS 5.1 aus XP mit SP2. Wer damit einen öffentlich erreichbaren Webserver betreibt, darf umgehend patchen. Denn sonst übernimmt ein Angreifer das gesamte System unter Ausnutzung dieser Lücke vollständig. Das war es jetzt erst einmal. Viel Spaß beim Patchen trotz Ferienzeit. Ach ja, natürlich gibt es auch eine neue Version des "Tools zum Entfernen bösartiger Software".
|
|||