[Warning] "Out-of-band"-Patches für Microsoft Visual Studio/C++ und Internet Explorer

Robert Waldner waldner at cert.at
Wed Jul 29 01:29:17 CEST 2009


29. Juli 2009

   "Out-of-band"-Patches für Microsoft Visual Studio/C++ und Internet
   Explorer

   Angesichts der Schwere der Sicherheitslücken, der hohen Verbreitung
   von Microsoft Software sowie der besonderen Umstände
   ("out-of-band"-Patches) ersucht CERT.at um Beachtung der folgenden
   Meldung:
   [1]Microsoft hat soeben 2 "Out-of-band"-Patches für Visual
   Studio/C++ und Internet Explorer veröffentlicht.

Hintergrund und Dimension

   Microsoft veröffentlicht üblicherweise Patches nur gebündelt einmal
   pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und
   sieht davon nur in besonders wichtigen Ausnahmefällen ab - im
   konkreten Fall stuft Microsoft das Risiko der mit diesen Patches
   behobenen Lücken als zumindest teilweise "kritisch" ein.
   Microsoft weist weiters darauf hin, daß beide Patches Probleme mit
   Remote Code Execution beheben (teils in Internet Explorer, teils in
   Programmen, die mit Visual Studio entwickelt wurden), damit wären
   alle Daten auf betroffenen Systemen, sowie potentiell alle durch
   diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen
   Systemen gefährdet.
     __________________________________________________________________

   Wir machen ausdrücklich darauf aufmerksam, daß Entwickler, die die
   "Active Template Library" (ATL) von Visual Studio in ausgelieferten
   Programmen verwenden, nicht nur den Patch installieren, sondern auch
   selbst entsprechend angepaßte neue Programmversionen ausliefern
   sollten.
     __________________________________________________________________

Beschreibung

     * Das behobene Problem in Visual Studio/C++ betrifft die "Active
       Template Library" (ATL), welche in Visual Studio inkludiert ist,
       und betrifft eine Lücke, die in Programmen, die in Visual Studio
       und mit dieser Library entwickelt und ausgeliefert wurden,
       auftritt bzw. auftreten kann.
       Nochmals besonders hervorzuheben ist hier, daß nicht nur
       Entwickler, die diese Library benutzen, diesen Fix installieren
       sollten, sondern diese auch neue, speziell angepaßte Versionen
       der entsprechenden Programme ausliefern sollten.
       Weitere Details siehe
[2]http://www.microsoft.com/technet/security/bulletin/MS09-035.mspx
       (englisch).

     * In Internet Explorer wiederum wurden 3 Sicherheitsprobleme
       behoben, die jeweils nur durch das Aufrufen speziell
       präparierter Webseiten für Remote Code Execution benutzt werden
       können. Da diese Informationen nun öffentlich sind, ist mit dem
       baldigen Auftreten entsprechender Webseiten (und der Verbreitung
       entsprechender Links, zum Beispiel via Spam-Mails) zu rechnen.
       Weiters wurden Probleme in Zusammenhang mit der oben angeführten
       "Active Template Libary" behoben. Im Prinzip sind die Versionen
       5, 6, 7 und 8 von Internet Explorer betroffen, Details finden
       sich unter
[3]http://www.microsoft.com/technet/security/bulletin/MS09-034.mspx
       (englisch).


Betroffene Software

     * Microsoft Visual Studio .NET 2003
     * Microsoft Visual Studio 2005
     * Microsoft Visual Studio 2008
     * Microsoft Visual C++ 2005
     * Microsoft Visual C++ 2008
     * Internet Explorer auf:
          + Windows 2000
          + Windows XP
          + Windows Server 2003
          + Windows Vista
          + Windows Server 2008

Abhilfe

     * Entwickler: Installation der von Microsoft zur Verfügung
       gestellten Patches, Auslieferung entsprechend angepaßter neuer
       Programmversionen
     * Endbenutzer: Installation des Patches für Internet Explorer, und
       gegebenenfalls Anforderung neuer Programmversionen beim
       Hersteller

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall Software
   installiert zu haben und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Microsoft Security Bulletin MS09-035 (englisch) - Visual Studio/C++,
   Active Template Library
   [4]http://www.microsoft.com/technet/security/bulletin/MS09-035.mspx
   Microsoft Security Bulletin MS09-034 (englisch) - Internet Explorer
   [5]http://www.microsoft.com/technet/security/bulletin/MS09-034.mspx

References

   1. http://www.microsoft.com/
   2. http://www.microsoft.com/technet/security/bulletin/MS09-035.mspx
   3. http://www.microsoft.com/technet/security/bulletin/MS09-034.mspx
   4. http://www.microsoft.com/technet/security/bulletin/MS09-035.mspx
   5. http://www.microsoft.com/technet/security/bulletin/MS09-034.mspx

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 252 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20090729/5e8a0087/attachment.sig>


More information about the Warning mailing list