"Out-of-band"-Patches für Microsoft Visual Studio/C++ und Internet Explorer

29. Juli 2009

Angesichts der Schwere der Sicherheitslücken, der hohen Verbreitung von Microsoft Software sowie der besonderen Umstände ("out-of-band"-Patches) ersucht CERT.at um Beachtung der folgenden Meldung:

Microsoft hat soeben 2 "Out-of-band"-Patches für Visual Studio/C++ und Internet Explorer veröffentlicht.

Hintergrund und Dimension

Microsoft veröffentlich üblicherweise Patches nur gebündelt einmal pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und sieht davon nur in besonders wichtigen Ausnahmefällen ab - im konkreten Fall stuft Microsoft das Risiko der mit diesen Patches behobenen Lücken als zumindest teilweise "kritisch" ein.

Microsoft weist weiters darauf hin, daß beide Patches Probleme mit Remote Code Execution beheben (teils in Internet Explorer, teils in Programmen, die mit Visual Studio entwickelt wurden), damit wären alle Daten auf betroffenen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systemen gefährdet.

Wir machen ausdrücklich darauf aufmerksam, daß Entwickler, die die "Active Template Library" (ATL) von Visual Studio in ausgelieferten Programmen verwenden, nicht nur den Patch installieren, sondern auch selbst entsprechend angepaßte neue Programmversionen ausliefern sollten.

Beschreibung

Das behobene Problem in Visual Studio/C++ betrifft die "Active Template Library" (ATL), welche in Visual Studio inkludiert ist, und betrifft eine Lücke, die in Programmen, die in Visual Studio und mit dieser Library entwickelt und ausgeliefert wurden, auftritt bzw. auftreten kann.
Nochmals besonders hervorzuheben ist hier, daß nicht nur Entwickler, die diese Library benutzen, diesen Fix installieren sollten, sondern diese auch neue, speziell angepaßte Versionen der entsprechenden Programme ausliefern sollten.
Weitere Details siehe http://www.microsoft.com/technet/security/bulletin/MS09-035.mspx (englisch).
In Internet Explorer wiederum wurden 3 Sicherheitsprobleme behoben, die jeweils nur durch das Aufrufen speziell präparierter Webseiten für Remote Code Execution benutzt werden können. Da diese Informationen nun öffentlich sind, ist mit dem baldigen Auftreten entsprechender Webseiten (und der Verbeitung entsprechender Links, zum Beispiel via Spam-Mails) zu rechnen.
Weiters wurden Probleme in Zusammenhang mit der oben angeführten "Active Template Libary" behoben.
Im Prinzip sind die Versionen 5, 6, 7 und 8 von Internet Explorer betroffen, Details finden sich unter http://www.microsoft.com/technet/security/bulletin/MS09-034.mspx (englisch).

Betroffene Software

Microsoft Visual Studio .NET 2003
Microsoft Visual Studio 2005
Microsoft Visual Studio 2008
Microsoft Visual C++ 2005
Microsoft Visual C++ 2008
Internet Explorer auf:
- Windows 2000
- Windows XP
- Windows Server 2003
- Windows Vista
- Windows Server 2008

Abhilfe

Entwickler: Installation der von Microsoft zur Verfügung gestellten Patches, Auslieferung entsprechend angepaßter neuer Programmversionen
Endbenutzer: Installation des Patches für Internet Explorer, und gegebenenfalls Anforderung neuer Programmversionen beim Hersteller

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Microsoft Security Bulletin MS09-035 (englisch) - Visual Studio/C++, Active Template Library
http://www.microsoft.com/technet/security/bulletin/MS09-035.mspx
Microsoft Security Bulletin MS09-034 (englisch) - Internet Explorer
http://www.microsoft.com/technet/security/bulletin/MS09-034.mspx