Patch-Day: Microsoft stopft kritische Sicherheitslöcher

Im Rahmen des Patch-Day für den Monat Dezember hat Microsoft zwei Security Bulletins veröffentlicht, die zum Teil schwerwiegende Sicherheitslücken im Windows-Betriebssystem adressieren und beheben.

Wie erwartet stellt Microsoft mit Security Bulletin MS05-054 abermals einen kumulativen Sicherheitspatch für den Internet Explorer zur Verfügung. Das von Redmond als „kritisch“ bewertete Update befasst sich mit insgesamt vier Anfälligkeiten im Browser. Darunter ist eine seit Mai dieses Jahres bekannte, aber erste jetzt behobene Schwachstelle, die vor Rund einer Woche für Schlagzeilen sorgte.

Bei der Lücke handelt es sich um die im Microsoft Security Advisory 911302 beschriebene Bedrohung, die durch eine fehlerhafte Verarbeitung von Document-Object-Model (DOM) -Objekten hervorgerufen wird. Lange wurde angenommen, dass sich diese Lücke ausschließlich zur Ausführung von relativ harmlosen Denial-of-Service-Angriffen eigne, bei denen Übeltäter den Browser lediglich zum Absturz bringen, aber darüber hinaus keine weiteren Schäden anrichten könnten. Microsofts sechs Monate währende lässige Haltung gegenüber dem Software-Fehler änderte sich schlagartig, als Sicherheitsexperten vor rund zwei Wochen in ihm einen neuen und gefährlicheren Angriffsvektor entdeckten, der Übeltätern Tür und Tor zum System öffnet. Wenige Tage später musste Microsoft vor dem neuen Trojaner Win32/Delf.DH warnen, der genau diese Lücke ausnutzt. Dies zeigt, dass die Redmonder trotz der Fortschritte in den letzten Jahren noch mehr tun müssen.

Neben der DOM-Lücke beseitigt der IE-Patch eine weitere kritische Verwundbarkeit, die durch eine Speicherbeschädigung bei der Instanziierung von COM-Objekten ausgenutzt werden kann. Die Lücke ermöglicht externen Angreifern das Ausführen von Code auf dem lokalen System.

Die letzten zwei im Internet Explorer behobenen Fehler verdienen nach Microsofts Bewertungssystem den Schweregrad „mittel“. So verhindert der aktuelle Patch einen vom Sicherheitsspezialisten Secunia entdeckten Fehler bei der Verarbeitung von Tastaturkürzeln in Sicherheits-Dialogfenstern. Auch ein Problem in Zusammenhang mit HTTPS-Proxy-Authentifizerung wurde behoben, das Neugierigen trotz sicherer Verbindung unter Umständen das Auslesen der aufgerufenen URL im Klartext ermöglichte.

Im zweiten gestern veröffentlichten Security Bulletin MS05-055 behebt Microsoft einen Fehler im Windows-Kernel, der Angreifern eine Erhöhung der Systemberechtigungen ermöglicht. Ausschließlich Windows 2000 mit Service Pack 4 ist von dieser Lücke betroffen.

In gewohnter Manier stellt Microsoft auch in diesem Monat eine neue Version des „Windows-Tool zum Entfernen bösartiger Software“ zur Verfügung. Die Software erkennt und löscht gängige Malware, die sich im System eingenistet hat, schützt jedoch nicht von vornherein vor dem Befall.

Anwender sollten die zur Verfügung gestellten Updates schnellstmöglich installieren. Diese können von der Microsoft-Website oder am einfachsten über Windows Update heruntergeladen werden.

Weitere Informationen:

• Microsoft: Security Bulletin Summary für Dezember 2005
• Microsoft: Security Bulletin MS05-054
• Microsoft: Security Bulletin MS05-055
• Secunia Research: Microsoft Internet Explorer Keyboard Shortcut Processing Vulnerability
• CVE-2005-2830: HTTPS Proxy Vulnerability