Patchday: Updates für Windows, Excel und Word
Den Patchday im November bestreitet Microsoft wie angekündigt mit sechs Updates, von denen drei kritische Sicherheitslücken in Windows abdichten. Ausschließlich unter Vista und Windows Server 2008 verarbeitet die Webservice on Devices API (WSDAPI), die für den Zugriff auf externe Geräte wie Drucker und Digicams zuständig ist, bestimmte Nachrichten-Header nicht richtig und lässt sich so Code unterschieben. Wer das Update nicht einspielen kann oder will, kann zumindest die TCP-Ports 5357 und 5358 sowie den UDP-Port 3702 blockieren, um Angriffe zu verhindern. Allerdings funktioniert dann die Geräteerkennung nicht mehr.
In allen Windows-Versionen außer Windows 7 und Windows Server 2008 R2 finden sich drei Fehler im Kernel. Allerdings taugen diese nur unter Windows 2000, XP und Windows Server 2003 zum Einschleusen von Code. Unter Vista und Windows Server 2008 kann sie ein Angreifer lediglich nutzen, um sich zusätzliche Rechte zu erschleichen.
Beim dritten Windows-Leck schließlich handelt es sich um ein Problem im Lizenzprotokollierserver, das allerdings nur Windows 2000 betrifft. Ein viertes Leck in Windows steckt im LSASS-Dienst und trägt die Sicherheitseinstufung hoch, da Angreifer keinen Code einschleusen, sondern nur das System per DoS-Angriff lahm legen können.
Die Lecks in Word und Excel tragen zwar ebenfalls nur die Sicherheitseinstufung hoch, doch auch sie lassen sich ausnutzen, um Code einzuschleusen. Nicht nur die beiden Office-Programme selbst sind betroffen, sondern auch Word Viewer und Excel Viewer, so dass der Einsatz der Viewer bei Dateien aus unbekannten Quellen keinen ausreichenden Schutz bietet.
Während in Word nur ein Leck zu finden ist, sind es in Excel gleich acht. Es handelt sich hauptsächlich um Speicherfehler, aber auch Probleme bei der Analyse von Arbeitsblättern und beim Laden von Formeln. (Daniel Dubsky)