Microsoft will am kommenden Dienstag, den 13. Juli, einen Patch zum Schließen der Sicherheitslücke im Hilfe- und Supportcenter bereitstellen. Die Lücke wird bereits aktiv von Kriminellen zur Infektion der PCs von Anwendern benutzt. Dazu genügt bereits der Aufruf einer präparierten Webseite. Meist handelt es sich dabei um Webseiten seriöser Anbieter, die zuvor gehackt wurden. Bislang steht jedoch nur Windows XP im Fokus, weil der kursierende Exploit noch nicht auf anderen Windows-Versionen funktioniert.

Daneben wollen die Redmonder auch endlich einen zwei Monate alten Fehler im Zusammenhang mit Aero und Bildschirmtreibern in den 64-Bit-Versionen von Windows 7 und Server 2008 beheben. Die Darstellung manipulierter Bilder lässt sich unter Umständen ausnutzen, um ein System zu kompromittieren. Allerdings hat Microsoft bislang nie vollständig geklärt, wie sich die Lücke überhaupt konkret ausnutzen lässt. Des Weiteren sollen zwei Updates kritische Lücken in Office schließen.

In diesem Monat endet auch der Support für sämtliche Windows-2000-Produkte und Windows XP SP2. Danach gibt es keine Patches mehr; selbst sicherheitskritische Lücken bleiben offen. Lediglich die Knowledge Base wird als Online-Selbsthilfe-Resource noch zur kostenlosen Nutzung bereitgehalten.

Nach Full Disclosure hat Microsoft mit einer weiteren Variante der Offenlegung von Informationen zu kämpfen: Null Disclosure. So hat der französische Sicherheitsdienstleister VUPEN zwar proklamiert, im gerade erst veröffentlichten Office 2010 zwei kritische Sicherheitslücken gefunden zu haben, genauere Informationen und Schutzempfehlungen bislang aber nur an seine eigenen Kunden weitergegeben. Microsoft wolle man vorerst keine Informationen zukommen lassen, schließlich sei die Gegenleistung – die Erwähnung in den Credits der Security Bulletins – zu wenig.

Zu den Kunden von VUPEN gehören Regierungsbehörden und andere Hersteller, für die eine "private responsible disclosure policy" gelte, so VUPEN-CEO Chaouki Bekrar in einer Stellungnahme gegenüber heise Security. Man gebe keine Informationen an die Öffentlichkeit weiter, bis es einen Patch gebe.

Ob es die aber für die Office-Lücken gibt, hängt dann wohl von den Redmondern ab und ob diese gewillt sind, für die Informationen zu zahlen. VUPEN hat nach eigenen Angaben in den vergangenen Jahren freiwillig und kostenlos zahlreichen Herstellern bei der Beseitigung von Lücken geholfen. Allein in diesem Jahr habe man noch 130 Lücken in Microsoft-Produkten nach Redmond gemeldet. Dies sei nun aber nicht mehr sinnvoll. "Warum sollten Sicherheitsdienstleister ihre Informationen kostenlos zur Verfügung stellten, um kostenpflichtige Programme sicherer zu machen?", fragt Bekrar.

Gerade bei Office 2010 habe man sehr viel Arbeit investiert, um Sicherheitslücken aufzuspüren. Konkret sollen die Lücken in Word und Excel zu finden sein und das Einschleusen von Code ermöglichen. Zwar sei Office 2010 sicherer als seine Vorgänger, trotzdem ließe sich die Datenausführungsverhinderung, Protected View und die Office File Validation austricksen. Die Tricks habe man bereits zum Schreiben zuverlässiger Exploits für Office 2007 verwendet.

Neben VUPEN praktiziert auch der US-Sicherheitsdientsleister Immunity Sec Null Disclosure und versorgt seine Kunden mit Zero-Day-Exploits, ohne Microsoft zu informieren. Anders macht es beispielsweise die Zero Day Initiative von Tipping Point. Sie kauft Informationen auf, arbeitet sie in ihre Signaturen für Intrusion-Detection-Systeme ein und gibt die Infos dann gratis an die betroffenen Hersteller weiter.

Neben der Office-Front hat Microsoft noch an anderen Stellen zu kämpfen: Eine Gruppe unbekannter Entwickler hat Microsofts Kritik an der letzten Veröffentlichung von Tavis Ormandy zum Anlass genommen, die Microsoft-Spurned Researcher Collective (MSRC, in Anlehnung Microsoft Security Response Center) zu gründen. Dies will künftig Lücken à la Full Disclosure veröffentlichen und praktiziert dies sogleich mit einer Lücke zur Rechteausweitung unter Windows. Betroffen sind nach bisherigen Erkenntnissen Windows Vista und Windows Server 2008.

Daneben gibt es Berichten des Sicherheitsdienstleisters Secunia zufolge einen Buffer Overflow in der (VC++6-)Windows-Laufzeitkomponente mfc42.dll in der Funktion UpdateFrameTitleForDocument. Bislang ist aber nur eine Anwendung bekannt, bei der sich der Fehler provozieren lässt: PowerZip 7.2 Build 4010 unter Windows 2000 und XP. Weitere Einzelheiten und mögliche Angriffsszenarien gibt es nicht. Microsoft geht der Sache laut Twitter jedoch nach.

Nur wenige Anwendungen nutzen die unter Windows verfügbare Datenausführungsverhinderung (Data Execution Prevention, DEP) und Speicherverwürfelung (Adress Space Layout Randomisation, ASLR), um Angriffe auf Schwachstellen ins Leere laufen zu lassen. Zu diesem Ergebnis kommt der Sicherheitsdienstleister Secunia in einer Untersuchung von 16 populären Anwendungen wie Browsern, Mediaplayern und Office-Anwendungen.

DEP verhindert, dass ein Angreifer seinen über einen Buffer Overflow auf den Stack oder Heap geschriebenen Code ausführen kann – den Overflow selbst kann es nicht verhindern. Der Angreifer muss aber nicht zwingend sofort seinen eigenen Code ausführen. Vielmehr kann er durch Manipulation der Rücksprungadresse in ein bereits von der Anwendung geladenes Codesegment springen. Üblicherweise versuchen Angreifer in bestimmte Funktionen der C-Bibliothek zu springen (Return-into-libc-Attacke).

Da die Funktionen immer an die gleiche Stelle geladen werden, weiß ein Angreifer, an welche Stelle sein Code springen muss. Diese Vorhersage soll nun wiederum ASLR erschweren. Windows 7 und Vista wählen für den Speicherort des geladenen Codes eines Prozesses, die dazugehörige DLLs, den Stack und Heaps zufällige Adressen. Das lässt sich zwar auch wieder mit bestimmten Tricks aushebeln, allerdings macht es Exploits unzuverlässiger – und oftmals hat eine Angreifer nur einen Schuss.

Windows überlässt es der Anwendung, beim Laden durch bestimmte Flags zu signalisieren, ob es DEP und ASLR nutzen will. Während die meisten Microsoft-Anwendungen regen Gebrauch von den Funktionen machen, nutzen laut Secunia Anwendungen anderer Hersteller die Funktionen aber oft gar nicht, nur teilweise oder fehlerhaft. Die Browser Firefox, Opera und Safari beispielsweise unterstützen zwar DEP, aber kein ASLR. Einzig Chrome nutzt beide Optionen.

Mediaplayer wie Winamp, RealPlayer, QuickTime und VLC nutzen gar keine der Optionen. Apple hatte zwar schon Mitte 2008 damit geworben, in QuickTime einen "Exploit Prevention mechanisms" (XPMs) auf Basis von ASLR realisiert zu haben. Bei genauerem Hinsehen ließ sich aber erkennen, dass ASLR für zahlreiche Bibliotheken und Anwendungen von QuickTime weiterhin deaktiviert ist.

Nach Meinung von Secunia dürften die unzureichende Nutzung der Optionen für Virenautoren ein weiterer Grund sein, ihre Angriffe auf Anwendungen anderer Hersteller als Microsoft zu verlagern.

Für die offizielle, quelloffene Referenzbibliothek zur Darstellung von Bildern im Format "Portable Network Graphics" (PNG) libpng sind die Updates 1.2.44 und 1.4.3 erschienen, um Sicherheitslücken zu schließen. Laut Bericht der Entwickler finden sich in älteren Version zwei Fehler, wovon sich einer zum Einschleusen und Starten von Code ausnutzen lässt. Offenbar ist es bei libpng möglich, eine weitere Bildzeile zu verarbeiten, auch wenn die angegebene Bildhöhe geringer ist. Damit können Angreifer gezielt Code in den Speicher schreiben.

Da zahlreiche Browser libpng zur Anzeige von Bildern benutzen, könnten präparierte Webseiten die PCs von Besuchern mit Schadcode infizieren. Allerdings schränken die Entwickler in ihrem Bericht ein, dass der Erfolg eines Angriffs davon abhängt, wie die jeweilige Anwendung libpng nutzt. Zwar hat die Mozilla Foundation den Fehler entdeckt, ob aber Firefox konkret betroffen ist, ist derzeit nicht bekannt. Bei dem zweiten Fehler handelt es sich um ein Speicherproblem in Zusammenhang mit fehlerhaften physikalischen Skalierungsangaben (sCAL Chunks), durch die eine Anwendung abstürzen kann.

Auch für die freie Blibliothek libtiff haben die Entwickler ein Update vorgelegt. Version 3.9.4 beseitigt einen Buffer Overflow, der sich durch die Verarbeitung manipulierter SubjectDistance-Tags provozieren lässt. Auch hierüber sollen sich Code einschleusen lassen. Des Weiteren schließt die Version nun mehrere Lücken (Integer Overflows) vollständig, die eigentlich schon in Version 3.9.3 behoben sein sollten.

Wie bereits vor zwei Wochen angedeutet, hat Adobe nun für den kommenden Dienstag, den 29. Juni die Sicherheits-Updates für den Reader und Acrobat offiziell angekündigt. Sie sollen neben der seit Anfang Juni bekannten Lücke in der mit dem Reader und Acrobat ausgelieferten Bibliothek authplay.dll noch weitere schließen. Wie viele dies genau sind, gibt Adobe nicht an, es soll sich aber ebenfalls um kritische Lücken handeln. Die Updates erscheinen für Windows, Mac und Unix (bei Acrobat nur für Windows und Mac) jeweils für die Versionen 9.3.3 und 8.2.3.

Adobe gibt damit die Updates zwei Wochen vor dem regulären, alle drei Monate stattfindenden Termin heraus. Damit geht Adobe einen Kompromiss ein, um die ursprünglich aus dem Flash Player herrührende Lücke schnell zu schließen und trotzdem die bislang noch nicht veröffentlichen Lücken zu beseitigen. Andernfalls hätte der Hersteller innerhalb weniger Wochen zwei Updates veröffentlicht, was laut Adobe für größere Unternehmen mit Patch-Management zu viel Aufwand bedeutete.

Die Lücke wird zumindest im Flash Player bereits aktiv von Webseiten zur Infektion der PCs von Besuchern ausgenutzt, sofern Anwender noch nicht die aktuelle Version 10.1 installiert haben.

Opera hat Version 10.54 seines Browsers vorgelegt, um vier Sicherheitslücken zu schließen, von denen der Hersteller eine als extrem gefährlich und eine weitere als hoch gefährlich einstuft. Details dazu will das norwegische Unternehmen erst zu einem späteren Zeitpunkt veröffentlichen, um seine Anwender so lange zu schützen, bis der Großteil auf die neue Version gewechselt ist. Opera empfiehlt, das Update so schnell wie möglich durchzuführen.

Die Mac-Version korrigiert zusätzlich zahlreiche kleinere Fehler und Instabilitäten und deinstalliert nun bei einem Auto-Update von alleine die alte Version. Vergangene Woche hatte Opera Version 10.6 beta für Windows Mac OS X und Unix vorgelegt, die deutlich schneller arbeitet und hübscher aussieht als der Vorgänger.

Eine kritische Sicherheitslücke zwingt die Samba-Entwickler, für den auslaufenden Zweig 3.3 ein Update zu veröffentlichen. Laut einem Bericht steckt im Code (in chain_reply in smbd/process.c) zur Verkettung von SMB(1)-Paketen ein Fehler, durch den sich mit präparierten Paketen Teile des Speichers überschreiben lassen.

In der Regel soll der Fehler nur zum Absturz des Servers führen. Möglicherweise lässt sich dies jedoch auch gezielt zum Einschleusen und Starten von Code aus der Ferne ausnutzen, schreiben die Entwickler in ihrem Bericht. Ein Angreifer müsste sich dazu nicht einmal authentifiziert haben.

Betroffen sind alle Versionen zwischen 3.0.x bis einschließlich 3.3.12. Das Update auf 3.3.13 schließt die Lücke. Die Entwickler empfehlen betroffenen Administratoren, die neue Version so schnell wie möglich zu installieren. Ein Patch steht zusätzlich bereit. Die Versionen 3.4.x und 3.5.x sind nicht verwundbar, da der Fehler verursachende Code dort komplett neu geschrieben wurde.

Seit Februar 2010 befindet sich der Zweig 3.3 ohnehin nur noch im "security fixes only "-Mode und wird nicht mehr weiterentwickelt und gepflegt. Anwender sollten überlegen, ob ein Wechsel auf eine aktuelle Version möglich ist.