Sicherheitsupdates Februar 2011

Wie bereits angekündigt,
hat Microsoft heute zwölf
Sicherheitsupdates veröffentlicht
, von denen drei als „kritisch“ und neun
als „wichtig“ eingestuft sind
. Betroffen sind alle derzeit unterstützten
Windows-Versionen inklusive der Server-Varianten, der Internet Explorer,
Microsoft Office und der Internet Information Server (IIS). Im Fall des IIS ist
wichtig zu wissen, dass die Schwachstelle im FTP-Dienst aufgetaucht ist, nicht
im Web-Publishing-Dienst. Der FTP-Service ist ab Werk nicht installiert
beziehungsweise aktiv.

Rasch installiert werden sollten – wie immer – die als
„kritisch“ bewerteten Sicherheitsupdates (MS11-003, MS11-006 und
MS11-007). Sie beheben unter anderem die kürzlich aufgetauchten
Lücken im Internet
Explorer
sowie in Windows,
die bereits im kleinen Stil angegriffen werden. Dies gibt zumindest Wolfgang
Kandek, CTO von Qualys, in verschiedenen Interviews bekannt. Microsoft selbst
sind im Zusammenhang mit der Windows-Lücke keine aktiven Angriffe bekannt. Mit MS11-003 wird die letzte der bekannten
DLL-Preloading-Lücken aus der Welt geschafft.

MS11-005 wird nur auf Servern installiert, auf denen der betreffende Dienst installiert
und aktiviert ist. Auf Maschinen, die nicht als Domain Controller fungieren,
ist das Update nicht nötig.

Die kürzlich
beschriebene Lücke
im Zusammenhang mit MHTML wird in diesem Monat nicht
geschlossen. Wir empfehlen daher dringend, die in der Sicherheitsempfehlung
beschriebenen Schritte zu gehen, um das Risiko eines Angriffs auf diese
Schwachstelle zu minieren.

Noch ein Wort zu den von der Zero Day Initative
veröffentlichten Schwachstellen, für die noch keine Softwareupdates bereit
stehen: ZDI hat sich entschieden, eine Deadline für Sicherheitsupdates
einzuführen. 180 Tage, nachdem die betroffenen Hersteller alarmiert wurden,
macht ZDI Details über die entdeckte Lücke öffentlich – selbst wenn es kein
Update gibt. In den vergangenen Tagen war es erstmals soweit, wie unter anderem
von heise
security berichtet
wurde. Auch Microsoft-Produkte sind betroffen.

Die US-Kollegen wussten von den fünf jetzt veröffentlichten
Schwachstellen und wollten die betreffenden Updates ursprünglich als Teil der
Februar-Bulletins bereit stellen. Während der Tests, die jedes Update
durchlaufen muss, zeigten sich jedoch Probleme. Diese hätten eine wirksame
Verteilung dieses Updates behindern können. Daher hat sich Microsoft
entschieden, das Bulletin zu einem späteren Zeitpunkt zu veröffentlichen.

Microsoft weiß es zu schätzen, dass die ZDI vergleichsweise
wenig Informationen über die jeweiligen Schwachstellen veröffentlicht.
Gleichzeitig ist Microsoft jedoch der Ansicht, dass den Kunden am besten
gedient wird, wenn betroffene Hersteller und IT-Sicherheitsforscher das Problem
in vertraulichen Gesprächen behandeln, anstatt einem selbst gesetzten Termin zu
gehorchen.