Chief Security Advisor Blog - Deutschland - Michael Kranawetter

1. Sicherheitsupdates Januar 2012

   Microsoft heute sieben Sicherheitsupdates veröffentlicht, von denen eines als "kritisch" und sechs  als „wichtig“ eingestuft werden. Insgesamt werden acht Sicherheitslücken geschlossen. Betroffen sind alle unterstützten Versionen von Windows (XP SP3, Vista, Windows 7, Server 2003, Server 2008, Server 2008 R2) sowie Microsoft Entwicklertools. Wichtig zu wissen ist, dass das als kritisch eingestufte Bulletin MS12-004 unter Windows 7 und Server 2008 R2 nur die Stufe „wichtig“ hat. Ältere Windows-Versionen sind durch die entdeckte und durch das Update geschlossene Sicherheitslücke deutlich größeren Risiken ausgesetzt.

   Würden die geschlossenen Lücken erfolgreich missbraucht, wären – je nach Schwachstelle – Ausführen von beliebigem Code über das Internet (Remote Code Execution, Einstufung „kritisch“ oder „hoch“), eine Rechterhöhung (Elevation of Privileges) oder der Abfluss von Informationen (Information Disclosure) möglich. Neu ist die bei MS12-001 (wichtig) verwendete Beschreibung „Umgehung der Sicherheitsfunktion“. Damit sind selten auftauchende Lücken gemeint, bei denen ein Angreifer eine Sicherheitsvorkehrung umgeht, um so eine andere Schwachstelle zu missbrauchen.

   MS12-006 (wichtig) schließt die seit September bekannte SSL 3.0/-TLS 1.0-Lücke, zu der bereits die Sicherheitsempfehlung 2588513 veröffentlicht wurde. Ursprünglich war dieses Update schon im Dezember geplant, wurde dann aber kurzfristig zurückgezogen, weil sich während der Tests kleinere Schwierigkeiten auf einer Maschine zeigten. Das jetzt durch das Bulletin behobene Problem betrifft alle IT-Unternehmen und verschiedene Browserhersteller arbeiten ihrerseits an Lösungen hierfür.

   Die US-Kollegen beantworten in einem Webcast am 11. Januar um 20.00 Uhr deutscher Zeit alle wichtigen Fragen zu den Januar-Updates. Die Registrierung für den Webcast findet sich hier.

    

   
2. Out of Band-Sicherheitsbulletin für ASP.NET veröffentlicht

   Wie heute Vormittag angekündigt, hat Microsoft mit MS11-100 ein Sicherheitsupdate außer der Reihe veröffentlicht. Das Update wird als „kritisch“ eingestuft und sollte daher umgehend installiert werden – obwohl derzeit keine aktiven Angriffe auf die geschlossene Lücke beobachtet werden. Betroffen sind alle derzeit unterstützten Versionen von Windows (XP SP3, Vista, Windows 7, Server 2003, Server 2008, Server 2008 R2) beziehungsweise alle ASP.NET-Versionen ab Version 1.1. Jedoch nur dann, wenn auf der Maschine ein Webserver läuft. Andernfalls besteht keine Notwendigkeit, das Update zu installieren.

   Die in der Sicherheitsempfehlung (2659883) beschriebene Schwachstelle, die durch MS11-100 geschlossen wird, ist ein industrieweites Problem und nicht auf ASP.NET beschränkt. Nutzer, die sich auf Windows Update oder Windows Server Update verlassen, müssen keine weiteren Schritte unternehmen. Das Sicherheitsupdate wird automatisch installiert.

   Technische Details zur Sicherheitslücke finden sich in einem Blogbeitrag der US-Kollegen. Außerdem werden die Kollegen in einem Webcast heute (29.12.2012) um 22.00 Uhr hiesiger Zeit die Details zum Sicherheitsbulletin erläutern. Die Registrierung für den Webcast findet sich hier.

    

   
3. Ankündigung: Out-of-Band-Sicherheitsbulletin für ASP.NET

   Microsoft wird aller Voraussicht nach heute gegen 19.00 Uhr hiesiger Zeit ein Sicherheitsbulletin außer der Reihe (Out of Band) veröffentlichen. Eine Sicherheitsempfehlung (2659883) ist bereits verfügbar. Verschiedene Medien, darunter Spiegel Online oder heise Security, berichteten bereits über die Schwachstelle.

   Das Update behebt eine Schwachstelle in ASP.NET, die zu einem Denial of Service führen kann. Weitere Details zu den Auswirkungen eines Missbrauchs der Schwachstelle haben die US-Kollegen in einem TechNet-Beitrag veröffentlicht.

   Entdeckt wurde die Schwachstelle, die sich auch in anderen Webprogrammiersprachen und Plattformen für Web-Anwendungen wie Java, PHP oder Python findet, von zwei deutschen Sicherheitsexperten. Erstmals öffentlich präsentiert wurden die Erkenntnisse im Rahmen des derzeit in Berlin stattfindenden 28C3 (Chaos Communication Congress). Details finden sich in einer PDF-Datei, die von den beiden Sicherheitsforschern veröffentlicht wurde.

   Microsoft sind derzeit keine Versuche bekannt, die Schwachstelle zu missbrauchen. Dennoch empfehlen wir allen Kunden, die in der Sicherheitsempfehlung (2659883) beschriebenen Schritte zur Risikominimierung zu befolgen. Das Sicherheitsupdate wird automatisch per Windows Update und Windows Server Update verteilt, steht ab heute Abend aber auch über das Microsoft Download Center bereit.

   Die US-Kollegen werden in einem Webcast heute (29.12.2012) um 22.00 Uhr hiesiger Zeit die Details zum Sicherheitsbulletin erläutern. Die Registrierung für den Webcast findet sich hier.

   
4. [Update] Windows 7 (64-Bit-Version) & Apple Safari: Details zur Schwachstelle

   Wie einige Medien – darunter heise Security – in Folge eines Sicherheitshinweises von Secunia berichteten, hat der unabhängige indische Sicherheitsforscher webDEVIL eine Lücke in der 64-Bit-Version von Windows 7 entdeckt: Die Systemdatei win32k.sys enthält sehr wahrscheinlich einen Speicherfehler, dessen Missbrauch laut webDEVIL einen BlueScreen erzeugt. Der Forscher provozierte den Absturz durch Aufruf einer speziell speziell präparierten HTML-Datei mit Apples Webbrowse Safari. Die verwendete 64bit-Version von Windows 7 war mit allen derzeit verfügbaren Sicherheitsbulletins versehen.

   [Update] Die Schwachstelle ist in einer Windowskomponente zu finden, nicht im Browser. Die betroffene Windowsfunktion wird jedoch häufig von Browsern angesprochen. Microsoft konnte den Absturz auch mit Versionen des Internet Explorers nachvollziehen, die älter sind als die aktuelle Version 9. Unter anderem deswegen ist ein baldiges Upgrade auf den IE9 privaten Endkunden und Business-Anwendern sehr zu empfehlen.[/Update]

   Laut Microsofts derzeitigem Wissensstand sind die 32-Bit-Versionen der Windows-Betriebssysteme nicht betroffen. Um mehr über die Zusammenhänge hinter dem Absturz in Erfahrung zu bringen, ist Microsoft zudem in Kontakt mit Apple. [Update] Theoretisch lassen sich die Abstürze auch auf anderen Wegen erreichen als über den bekannten Missbrauch der Browser. Ein weitreichender Missbrauch der Schwachstelle erscheint im Moment aber als sehr unwahrscheinlich. [/Update]

   [Update] Außerdem ist die Schwachstelle nach derzeitigem Kenntnisstand der US-Kollegen wohl nicht dazu geeignet, Windows-Systeme mit Schadsoftware zu infizieren. Reproduzieren ließen sich bislang die Abstürze, die einen Neustart nötig machen und unter Umständen zu Datenverlusten führen. Microsoft im Moment jedoch keine aktiven Angriffe auf die Schwachstelle bekannt. [/Update]

   [Update] Ob Microsoft eine Sicherheitsempfehlung zu dieser Schwachstelle veröffentlicht, steht derzeit noch nicht fest. Die Untersuchungen sind jedoch noch im Gange, so dass die letztendlich notwendigen Schritte noch nicht definiert werden können. [/Update].

    

   
5. Sicherheitsupdates Dezember 2011

   Wie bereits angekündigt, hat Microsoft heute 13 Sicherheitsupdates veröffentlicht, von denen drei als "kritisch" und zehn als „wichtig“ eingestuft werden. Insgesamt werden 19 Sicherheitslücken geschlossen. Betroffen sind alle unterstützten Versionen von Windows (XP SP3, Vista, Windows 7, Server 2003, Server 2008, Server 2008 R2), Office, Internet Explorer (alle Versionen von IE6 bis IE9), Microsoft Publisher und Windows Media Player, wobei die kritischen Lücken allesamt in Windows zu finden sind. Bei den Office-Varianten sind nicht nur die Windows-Versionen (Office 2003, 2007 und 2010) betroffen, sondern auch Office 2011 für Mac OS X.

   Würden die geschlossenen Lücken erfolgreich missbraucht, wären – je nach Schwachstelle – Ausführen von beliebigem Code über das Internet (Remote Code Execution, Einstufung „kritisch“ oder „hoch“), eine Rechterhöhung (Elevation of Privileges) oder der Abfluss von Informationen (Information Disclosure) möglich.

   MS11-087 (kritisch) schließt die Lücke in der TrueType-Parsing-Engine, durch die sich der als Stuxnet-Nachfolger bekannt gewordene Schädling Duqu verbreitet. Die anderen beiden als „kritisch“ eingestuften Bugs schließen Lücken im Internet Explorer (MS11-90) und im Windows Media Player sowie Windows Media Center (MS11-092).

   Die US-Kollegen beantworten in einem Webcast am 14. Dezember um 20.00 Uhr deutscher Zeit alle wichtigen Fragen zu den Dezember-Updates. Die Registrierung für den Webcast findet sich hier.