Microsoft Patchday April 2012

Fünf Schwachstellen im Internet Explorer

| Redakteur: Stephan Augsten

Zwei Microsoft-Updates bedürfen im April 2012 besonderer Aufmerksamtkeit.
Zwei Microsoft-Updates bedürfen im April 2012 besonderer Aufmerksamtkeit.

Elf Sicherheitslücken gehören mit dem vierten Microsoft Patchday 2012 der Vergangenheit an, allein fünf davon finden sich im Internet Explorer. Neben dem Browser-Update gelten drei weitere Patches als kritisch.

Microsoft liefert seit gestern Abend vier kritische und zwei wichtige Updates für elf Sicherheitslücken aus. Jede der kritischen Anfälligkeiten lässt sich dem Software-Hersteller zufolge dazu ausnutzen, um Code aus der Ferne auszuführen (Remote Code Execution, RCE).

Allein das Security Bulletin MS12-023 schließt fünf privat gemeldete Schwachstellen im Internet Explorer. Die schwerwiegendsten Sicherheitsanfälligkeiten ermöglichen einem externen Angreifer, sich die Rechte des angemeldeten Nutzers zu verschaffen und anschließend Code auf der Maschine auszuführen.

Für eine solche Attacke müsste der Anwender jedoch eine entsprechend manipulierte Website aufrufen. Das Sicherheitsupdate betrifft alle Browser-Versionen von Internet Explorer 6 bis 9. Im Falle der Client-Betriebssysteme Windows 7, Vista und XP wird der Patch als kritisch eingestuft, unter Windows Server 2008 und 2003 sieht Microsoft nur ein mittleres Risiko.

Security Bulletin MS12-024 behebt eine RCE-Schwachstelle in allen unterstützten Windows-Versionen. Hierzu zählen auch Itanium-basierte Windows Server sowie Server-Core-Installationen.

Diese Anfälligkeit lässt sich allerdings nur ausnutzen, wenn der Benutzer oder eine Anwendung eine speziell angepasste Portable Executable ausführt. Dabei handelt es sich um eine signierte, übertragbare, ausführbare Datei.

.NET-Schwachstelle betrifft Clients und Server

Das Sicherheitsupdate MS12-025 korrigiert einen Fehler in der Parameter-Prüfung des .NET-Frameworks. Die Sicherheitslücke findet sich in allen Versionen des .NET-Frameworks inklusive der zugehörigen Service Packs und betrifft sämtliche Windows-Betriebssystemen.

Die RCE-Schwachstelle lässt sich beispielsweise über einen Browser ausnutzen, der XAML-Browseranwendungen (XBAPs) unterstützt. Eine Code-Ausführung ist aber auch auf einem Internet Information Server (IIS) möglich.

Hierfür muss das Server-System die Verarbeitung von ASP.NET-Seiten zulassen und der Angreifer eine entsprechend angepasste Seite auf den Server hochladen und ausführen. Microsoft verweist beispielhaft auf ein Webhosting-Szenario. Darüber hinaus ist es durch den Fehler möglich, mithilfe angepasster .NET-Anwendungen die Einschränkungen der Codezugriffssicherheit (CAS) zu umgehen.

Der vierte und letzte kritische Microsoft-Patch MS12-027 wird für die allgemeinen Windows-Steuerungselemente bereitgestellt. Zu den anfälligen Microsoft-Anwendungen zählen verschiedenste Versionen von Microsoft Office, SQL Server, Biztalk und Commerce Server, Visual FoxPro sowieVisual Basic 6.0 Runtime.

In Microsoft Office findet sich im Übrigen noch eine weitere RCE-Schwachstelle, die mit dem Update MS12-028 behoben wird. Dieser Patch gilt jedoch nur als wichtig. Gleiches gilt fürs Security Bulletin MS12-026, das zwei Sicherheitslücken im Unified Access Gateway (UAG) behebt.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 32935980 / Schwachstellen-Management)