Einen kritischen Fehler enthält Microsofts Implementierung des TCP/IP-Protokollstacks für Windows, der sich übers Netz ausnutzen lässt. Der Fehler beruht auf einem Integer-Überlauf in einem Zähler für UDP-Pakete und wird in der Sicherheitsnotiz MS11-083 beschrieben. Ausgerechnet dann tritt das Problem auf, wenn der zugehörige UDP-Port nicht von einem lokalen Dienst genutzt wird, der Angreifer aber trotzdem einen kontinuierlichen Strom von Paketen an diesen sendet.

Eine externe Firewall, die derartige Pakete nicht ins lokale Netz weiterleitet, bietet Schutz für ungepatchte Windows-Systeme. Windows XP und Server 2003 sind nicht betroffen. In Windows Mail und Windows Meeting findet sich die zweite Lücke. Weil der Anwender zuvor eine EML- oder WCINV-Datei in einem externen Verzeichnis öffnen muss, wird ihr Schweregrad nur als hoch eingestuft. Der dritte Fehler tritt nur auf, wenn Active Directory mit SSL-verschlüsseltem LDAP eingesetzt wird, was standardmäßig nicht der Fall ist. Microsoft liefert noch ein Update gegen einen Kernel-Treiber-Bug, der durch Truetype-Schriften ausgelöst wird und Windows 7 und Server 2008 zum Absturz bringen kann.

Die von Duqu genutzte 0day-Lücke betrifft auch die Behandlung von Truetype-Schriften im Windows-Kern, es scheint sich aber nicht um den gleichen Bug zu handeln. Die Duqu-Lücke wird unter der Kennung CVE-2011-3402 geführt, während die heute geschlossene Lücke die Kennung CVE-2011-2004 hat. Also empfiehlt es sich weiterhin, das von Microsoft bereitgestellte Fix-it einzuspielen.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE