Details zum Microsoft-Patch-Day im April

Wie Microsoft bereits in sechs Sicherheits-Bulletins angekündigt hat, wurden am April-Patch-Day insgesamt elf Schwachstellen geschlossen. Jetzt hat das Unternehmen weitere Details zu den Sicherheitslücken veröffentlicht.

Im Bulletin MS12-023 wird ein kumulatives Sicherheitsupdate (KB2675157) für Internet Explorer beschrieben, das gleich mehrere kritische Lücken schließt. Durch den Besuch speziell präparierter Webseiten können Nutzer ihr System mit Schadcode infizieren („Remote Code Execution“). Die Angreifbarkeit entsteht durch eigentlich freigegebene aber fälschlich weiterhin genutzte Speicherbereiche („use-after-free“). Der Fehler ist in mehreren Funktionen der Internet Explorer-Version 6 bis 9 zu finden, etwa in der Druckfunktion und in JScript9. Chief Security Advisor Michael Kranawetter teilte mit, dass das Update auch eine Schwachstelle schließt, die letzten Herbst für Porno-Spams bei Facebook verantwortlich war. Dabei hatten Facebook-Nutzer per JavaScript unwissentlich pornografische Inhalte bei Facebook veröffentlicht. Kranawetter schreibt auch, dass die beim Hackwettbewerb Pwn2own im März entdeckten Schwachstellen damit noch nicht beseitigt sind.

MS12-024 beschreibt ein kritischen Sicherheitsanfälligkeit in sämtlichen Windows-Versionen inklusive Windows 8 Consumer Preview. Sie ermöglichen Angreifern Remotecode auszuführen. Der Angriff kann durch die Manipulation ausführbarer Dateien geschehen. Der Fehler liegt bei einer unzureichenden Prüfung der Dateien durch die Windows „Authenticode Signature Verfication“.

In MS12-025 wird auf eine Sicherheitslücke hingewiesen, die in der .NET-Laufzeitumgebung ebenfalls Remotecodeausführung ermöglicht. Auch diese Lücke beurteilt Microsoft als kritisch. Der Fehler wird dadurch verursacht, dass beim Übergeben von Daten Parameter nicht richtig überprüft werden.

MS12-026 behandelt eine Schwachstelle im Forefront Unified Access Gateway (UAG). Angreifer können Benutzer eines UAG-Servers über einen Link auf eine präparierte Internetseite umleiten. Hier ist es dann möglich, Anmeldeinformationen des Benutzers abzufragen.

Die Beschreibung in MS12-027 betrifft Windows Common Controls. Es handelt es sich um eine kritische Lücke in der Windows-Bibliothek MSCOMCTL.OCX, die Kriminelle ausnutzen können, um Schadcode einzuschleusen (Remotecodeausführung). Genutzt wird die Bibliothek von Microsoft Office, Microsoft SQL Server, BizTalk Server, Commerce Server, Visual FoxPro und der Visual Basic 6.0 Runtime. Eine Gefahr kann entstehen, wenn Anwender besonders präparierte Webseiten besuchen oder manipulierte Microsoft Office Dokumente öffnen.

Als „wichtig“ bezeichnet der Softwarekonzern eine Lücke in Office 2007 SP2, Works 9 sowie im Works 6-9-Dateikonverter, die in MS12-028 aufgeführt ist. Speziell präparierte Works-Dateien ermöglichen einem Speicherüberlauf auf dem Heap. Dadurch kann ein Angreifer potenziell Schadcode einschleusen.