Chief Security Advisor Blog - Deutschland - Michael Kranawetter

Deutschsprachiger Blog für die Sicherheits-Gemeinschaft.Diskutiert werden alle Informations-Sicherheits relevanten Themen.

Sicherheitsupdates Februar 2011

Sicherheitsupdates Februar 2011

  • Comments 1
  • Likes

Wie bereits angekündigt, hat Microsoft heute zwölf Sicherheitsupdates veröffentlicht, von denen drei als „kritisch“ und neun als „wichtig“ eingestuft sind. Betroffen sind alle derzeit unterstützten Windows-Versionen inklusive der Server-Varianten, der Internet Explorer, Microsoft Office und der Internet Information Server (IIS). Im Fall des IIS ist wichtig zu wissen, dass die Schwachstelle im FTP-Dienst aufgetaucht ist, nicht im Web-Publishing-Dienst. Der FTP-Service ist ab Werk nicht installiert beziehungsweise aktiv.


Rasch installiert werden sollten – wie immer – die als „kritisch“ bewerteten Sicherheitsupdates (MS11-003, MS11-006 und MS11-007). Sie beheben unter anderem die kürzlich aufgetauchten Lücken im Internet Explorer sowie in Windows, die bereits im kleinen Stil angegriffen werden. Dies gibt zumindest Wolfgang Kandek, CTO von Qualys, in verschiedenen Interviews bekannt. Microsoft selbst sind im Zusammenhang mit der Windows-Lücke keine aktiven Angriffe bekannt. Mit MS11-003 wird die letzte der bekannten DLL-Preloading-Lücken aus der Welt geschafft.


MS11-005 wird nur auf Servern installiert, auf denen der betreffende Dienst installiert und aktiviert ist. Auf Maschinen, die nicht als Domain Controller fungieren, ist das Update nicht nötig.


Die kürzlich beschriebene Lücke im Zusammenhang mit MHTML wird in diesem Monat nicht geschlossen. Wir empfehlen daher dringend, die in der Sicherheitsempfehlung beschriebenen Schritte zu gehen, um das Risiko eines Angriffs auf diese Schwachstelle zu minieren.


Noch ein Wort zu den von der Zero Day Initative veröffentlichten Schwachstellen, für die noch keine Softwareupdates bereit stehen: ZDI hat sich entschieden, eine Deadline für Sicherheitsupdates einzuführen. 180 Tage, nachdem die betroffenen Hersteller alarmiert wurden, macht ZDI Details über die entdeckte Lücke öffentlich – selbst wenn es kein Update gibt. In den vergangenen Tagen war es erstmals soweit, wie unter anderem von heise security berichtet wurde. Auch Microsoft-Produkte sind betroffen.


Die US-Kollegen wussten von den fünf jetzt veröffentlichten Schwachstellen und wollten die betreffenden Updates ursprünglich als Teil der Februar-Bulletins bereit stellen. Während der Tests, die jedes Update durchlaufen muss, zeigten sich jedoch Probleme. Diese hätten eine wirksame Verteilung dieses Updates behindern können. Daher hat sich Microsoft entschieden, das Bulletin zu einem späteren Zeitpunkt zu veröffentlichen.


Microsoft weiß es zu schätzen, dass die ZDI vergleichsweise wenig Informationen über die jeweiligen Schwachstellen veröffentlicht. Gleichzeitig ist Microsoft jedoch der Ansicht, dass den Kunden am besten gedient wird, wenn betroffene Hersteller und IT-Sicherheitsforscher das Problem in vertraulichen Gesprächen behandeln, anstatt einem selbst gesetzten Termin zu gehorchen.


Comments
  • Microsoft testet also z.B. seit 180 Tagen Sicherheitsupdates für Office-Produkte, um dann kurz vor dem avisierten Release-Termin festzustellen, dass diese "Nebenwirkungen" haben? Oder wurde vielleicht doch "etwas" später versucht, die mitgeteilten Sicherheitslücken mit einem Update zu fixen?

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment