Microsoft Patch Day

Kritische Lücke im Windows Media Player

Der erste Update-Dienstag in diesem Jahr bringt sieben Security Bulletins, die acht Sicherheitslücken behandeln. Eine der Lücken ist als kritisch eingestuft und betrifft die Windows Multimedia-Bibliothek älterer Windows-Versionen.

Vier der acht Sicherheitslücken, die Microsoft mit den neuesten Updates beseitigt, können es einem Angreifer ermöglichen, beliebigen Code einzuschleusen und auszuführen. Zwei davon werden im Security Bulletin MS12-004 behandelt und betreffen die Windows Multimedia-Bibliothek sowie DirectShow (Quarz.dll und Qdvd.dll). Windows 7 und Server 2008 R2 sind nur von der DirectShow-Schwachstelle betroffen, die Microsoft nicht als kritisch einstuft.

Die Windows Multimedia-Bibliothek (winmm.dll) älterer Windows-Versionen enthält eine Sicherheitslücke, die ein Angreifer mittels einer speziell präparierten MIDI-Datei ausnutzen kann. Wird diese Datei etwa im Windows Media Player geöffnet, kann eingeschleuster Code mit den Rechten des angemeldeten Benutzers ausgeführt werden. Reale Angriffe auf diese Schwachstelle sind bislang nicht bekannt.Die übrigen Security Bulletins behandeln als hohes Risiko eingestufte Lücken. So etwa MS12-001, das eine Anfälligkeit im Windows-Kernel (ntdll.dll) beschreibt. Deren Ausnutzung kann es einem Angreifer ermöglichen die Sicherheitsfunktion SafeSEH zu umgehen. SEH steht für "Structured Exception Handler" und ermöglicht Programmierern die Verarbeitung von Ausnahmen (Exceptions) zu kontrollieren. Um diese Schwachstelle nutzen zu können, müsste ein Angreifer zunächst eine andere Sicherheitslücke in einer Anwendung finden, die mit Microsoft Visual C++ .NET 2003 kompiliert wurde. Falls SafeSEH die Ausnutzung dieser zweiten Lücke verhindern würde, könnte der Angreifer die in MS12-001 behandelte Schwachstelle nutzen, um SafeSEH zu umgehen.Microsoft liefert mit MS12-006 ein Security Bulletin nach, das eigentlich bereits für den vorherigen Patch Day im Dezember vorgesehen war. Die Behandlung einer Schwäche im SSL-/TLS-Protokoll musste kurzfristig verschoben werden, da eine Inkompatibilität des Updates mit einer Software eines anderen Herstellers entdeckt wurde.Microsofts Schädlingsbekämpfer "Tool zum Entfernen bösartiger Software" nimmt in der neuen Version 4.4 auch das Trojanische Pferd Win32/Sefnit aufs Korn. Es klinkt sich in den Internet Explorer sowie in Firefox ein, um Suchanfragen bei Bing, Yahoo und Google zu kapern.