Dipl.-Inform. Carsten Eilers

Kritische Schwachstelle in Microsofts Mail-Clients

Eine offiziell vor der Veröffentlichung nicht bekannte Schwachstelle in Microsofts Mail-Clients (Outlook Express, Windows Mail und Windows Live Mail) wird mit den Updates zum Security Bulletin MS10-030 behoben. "Offiziell nicht bekannt", weil der Entdecker der Schwachstelle sein eigenes Advisory bereits einige Stunden vor der Veröffentlichung des Security Bulletins veröffentlicht hat. Ein Integerüberlauf beim Verarbeiten präparierter STAT-Responses erlaubt die Ausführung beliebigen Codes.

Im Security Research & Defense Blog wird erläutert, wie die Schwachstelle ausgenutzt werden kann und wann die Gefahr eines Angriffs besteht. Kritisch ist die Schwachstelle demnach nur für Benutzer, die POP3- oder IMAP-Konten nicht über SSL abfragen und dabei ein nicht vertrauenswürdiges Netzwerk wie z.B. ein öffentliches WLAN nutzen. In diesem Fall kann ein Angreifer sich als Man-in-the-Middle in die Kommunikation einschalten und die Schwachstelle direkt ausnutzen. Ansonsten müsste der Angreifer den Benutzer dazu bewegen, Mails von einem präparierten Mailserver abzufragen, was eher selten gelingen wird.

Microsoft weist im Bulletin darauf hin, das Windows 7 nur angegriffen werden kann, wenn Windows (Live) Mail installiert wurde: Die Schwachstelle befindet sich zwar in der immer vorhandenen System-Bibliothek inetcomm.dll, der einzige Angriffsvektor führt aber über Windows Mail oder Windows Live Mail.

Kritische Schwachstelle in Visual Basic for Applications

Die Updates zum Security Bulletin MS10-031 beheben eine vor der Veröffentlichung tatsächlich nicht bekannte Schwachstelle in Visual Basic for Applications. Betroffen sind außerdem Microsoft Office XP SP3, 2003 SP3 und 2007 SP1/SP2. Ein Fehler beim Suchen nach ActiveX-Controls kann über präparierte Dokumente ausgenutzt werden, um ein Byte auf dem Stack zu überschreiben. Im Security Research & Defense Blog wird aufgeführt, welche Hürden ein Angreifer bewältigen muss, um die Schwachstelle zum Ausführen von Code auszunutzen. Microsoft rechnet für diese Schwachstelle ebenso wie für die in den Mail-Clients in den nächsten 30 Tagen nicht mit zuverlässig funktionierenden Exploit-Code.

Die Schwachstelle wird für das Microsoft VBA SDK 6.0 und Anwendungen von Drittherstellern, die es verwenden, als kritisch eingestuft. Für Microsoft Office lautet die Einstufung "Wichtig", da dabei eine Benutzerinteraktion notwendig ist.

Kritische Schwachstellen in Adobes Shockwave Player

Adobe hat im Shockwave Player gleich 18 Schwachstellen behoben, von denen laut Security Bulletin alle bis auf eine das Ausführen von Code erlauben, die Ausnahme ist eine DoS-Schwachstelle. Die Schwachstellen wurden in Version 11.5.7.609 für Mac OS X und Windows behoben.

Für einige der Schwachstellen haben die Entdecker bereits eigene Advisories veröffentlicht. Von der Zero Day Initiative (ZDI) gibt es Advisories zur 'Adobe Shockwave Invalid Offset Memory Corruption Remote Code Execution Vulnerability' (ZDI-10-087), zur 'Adobe Shockwave Player 3D Parsing Memory Corruption Vulnerability' (ZDI-10-088) und zur 'Adobe Shockwave Director PAMI Chunk Remote Code Execution Vulnerability' (ZDI-10-089), und von Core Security zur 'Adobe Director DIRAPI.DLL Invalid Read Vulnerability' (CORE-2010-0405).

Gefährliche Schwachstellen in Adobe ColdFusion

Für ColdFusion 8.0, 8.0.1 und 9.0 stehen Patches bereit, die drei Schwachstellen beheben. Zwei erlauben Cross-Site-Scripting-Angriffe, die dritte das Ausspähen sensitiver Informationen, wenn der Angreifer lokalen Zugriff auf das betroffene System hat.

Bewertung der Schwachstellen

Ein Eintrag im Blog des Microsoft Security Response Center (MSRC) liefert einen Überblick über die Schwachstellen. Beide Bulletins haben einen Deployment- und Exploitability-Index von 2, die Installation der Updates ist nach Microsofts Einschätzung also nicht besonders dringend, und wie oben schon erwähnt wird in den nächsten 30 Tagen nicht mit zuverlässig funktionierenden Exploits gerechnet.

Die übliche Übersicht über die Security Bulletins im Handler's Diary des ISC weicht wie üblich von Microsofts Einstufung ab: Beide Schwachstellen werden nur für Clients als kritisch eingestuft, für Server nur als wichtig. Da in beiden Fällen nur Anwendungsprogramme betroffen sind, ist das verständlich.

Zur Einstufung der Adobe-Updates gibt es keine weiteren Informationen.

Fazit

Angesichts der Tatsache, das Adobe-Produkte bevorzugt im Rahmen von Drive-by-Infektionen ausgenutzt werden und im Shockwave Player gleich 17 Schwachstellen darauf warten, entsprechend eingesetzt zu werden, sollten Sie dieses Update als erstes installieren. Danach dann die Microsoft-Updates und zu guter Letzt die Coldfusion-Patches.

Carsten Eilers