Windows-Updates gegen Drive-by-Attacken

Das erste Security Bulletin dieses Jahres trägt die zweithöchste Risikoeinstufung "hoch" und befasst sich mit einer Schwachstelle in Windows Vista. Bei der Lücke handelt es sich um eine weitere Variante des unsicheren Ladens von Programmbibliotheken. Dadurch könnte ein Angreifer beliebigen Code einschleusen und ausführen. Ursache des Problems ist der Windows Backup Manager (sdclt.exe). Öffnet ein Benutzer eine WBCAT-Datei (Windows Backup Catalog) auf einem Netzlaufwerk und liegt in gleichen Verzeichnis eine speziell präparierte DLL, lädt der Backup Manager diese DLL statt der originalen Programmbibliothek. Ein Angreifer müsste ein potenzielles Opfer dazu bringen eine WBCAT-Datei etwa über die Web-Schnittstelle (WebDAV) auf einem externen Laufwerk zu öffnen. Ein Demo-Exploit ist öffentlich verfügbar, reale Angriffe sind bislang nicht bekannt.

Das zweite Security Bulletin (MS11-002) betrifft hingegen alle noch unterstützten Windows-Versionen. Es behandelt zwei Sicherheitslücken in den Microsoft Data Access Components (MDAC). Sie sind für die Desktop-Versionen von Windows (Windows 7, Vista, XP) als kritisch eingestuft, für die Server-Versionen gilt die Risikostufe "hoch". In einem Web-Angriffsszenario genügt es bereits, eine speziell gestaltete Web-Seite zu besuchen. Die Schwachstellen ermöglichen so genannte Drive-by-Attacken. Ohne weiteres Zutun des Benutzers kann Code eingeschleust und mit den Rechten des angemeldeten Benutzers ausgeführt werden. Veröffentlichter Exploit-Code oder reale Angriffe sind bislang nicht bekannt.

Microsofts Schädlingsbekämpfer, das "Windows-Tool zum Entfernen bösartiger Software", wird in einer neuen Version angeboten. Sie hat den Spam-Bot "Win32/Lethic" im Visier, der große Mengen an Spam verbreiten kann.