[Warning] "Out-of-band"-Patches für Microsoft Visual Studio/C++ und Internet Explorer
Robert Waldner
waldner at cert.at
Wed Jul 29 01:29:17 CEST 2009
29. Juli 2009
"Out-of-band"-Patches für Microsoft Visual Studio/C++ und Internet
Explorer
Angesichts der Schwere der Sicherheitslücken, der hohen Verbreitung
von Microsoft Software sowie der besonderen Umstände
("out-of-band"-Patches) ersucht CERT.at um Beachtung der folgenden
Meldung:
[1]Microsoft hat soeben 2 "Out-of-band"-Patches für Visual
Studio/C++ und Internet Explorer veröffentlicht.
Hintergrund und Dimension
Microsoft veröffentlicht üblicherweise Patches nur gebündelt einmal
pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und
sieht davon nur in besonders wichtigen Ausnahmefällen ab - im
konkreten Fall stuft Microsoft das Risiko der mit diesen Patches
behobenen Lücken als zumindest teilweise "kritisch" ein.
Microsoft weist weiters darauf hin, daß beide Patches Probleme mit
Remote Code Execution beheben (teils in Internet Explorer, teils in
Programmen, die mit Visual Studio entwickelt wurden), damit wären
alle Daten auf betroffenen Systemen, sowie potentiell alle durch
diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen
Systemen gefährdet.
__________________________________________________________________
Wir machen ausdrücklich darauf aufmerksam, daß Entwickler, die die
"Active Template Library" (ATL) von Visual Studio in ausgelieferten
Programmen verwenden, nicht nur den Patch installieren, sondern auch
selbst entsprechend angepaßte neue Programmversionen ausliefern
sollten.
__________________________________________________________________
Beschreibung
* Das behobene Problem in Visual Studio/C++ betrifft die "Active
Template Library" (ATL), welche in Visual Studio inkludiert ist,
und betrifft eine Lücke, die in Programmen, die in Visual Studio
und mit dieser Library entwickelt und ausgeliefert wurden,
auftritt bzw. auftreten kann.
Nochmals besonders hervorzuheben ist hier, daß nicht nur
Entwickler, die diese Library benutzen, diesen Fix installieren
sollten, sondern diese auch neue, speziell angepaßte Versionen
der entsprechenden Programme ausliefern sollten.
Weitere Details siehe
[2]http://www.microsoft.com/technet/security/bulletin/MS09-035.mspx
(englisch).
* In Internet Explorer wiederum wurden 3 Sicherheitsprobleme
behoben, die jeweils nur durch das Aufrufen speziell
präparierter Webseiten für Remote Code Execution benutzt werden
können. Da diese Informationen nun öffentlich sind, ist mit dem
baldigen Auftreten entsprechender Webseiten (und der Verbreitung
entsprechender Links, zum Beispiel via Spam-Mails) zu rechnen.
Weiters wurden Probleme in Zusammenhang mit der oben angeführten
"Active Template Libary" behoben. Im Prinzip sind die Versionen
5, 6, 7 und 8 von Internet Explorer betroffen, Details finden
sich unter
[3]http://www.microsoft.com/technet/security/bulletin/MS09-034.mspx
(englisch).
Betroffene Software
* Microsoft Visual Studio .NET 2003
* Microsoft Visual Studio 2005
* Microsoft Visual Studio 2008
* Microsoft Visual C++ 2005
* Microsoft Visual C++ 2008
* Internet Explorer auf:
+ Windows 2000
+ Windows XP
+ Windows Server 2003
+ Windows Vista
+ Windows Server 2008
Abhilfe
* Entwickler: Installation der von Microsoft zur Verfügung
gestellten Patches, Auslieferung entsprechend angepaßter neuer
Programmversionen
* Endbenutzer: Installation des Patches für Internet Explorer, und
gegebenenfalls Anforderung neuer Programmversionen beim
Hersteller
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall Software
installiert zu haben und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Microsoft Security Bulletin MS09-035 (englisch) - Visual Studio/C++,
Active Template Library
[4]http://www.microsoft.com/technet/security/bulletin/MS09-035.mspx
Microsoft Security Bulletin MS09-034 (englisch) - Internet Explorer
[5]http://www.microsoft.com/technet/security/bulletin/MS09-034.mspx
References
1. http://www.microsoft.com/
2. http://www.microsoft.com/technet/security/bulletin/MS09-035.mspx
3. http://www.microsoft.com/technet/security/bulletin/MS09-034.mspx
4. http://www.microsoft.com/technet/security/bulletin/MS09-035.mspx
5. http://www.microsoft.com/technet/security/bulletin/MS09-034.mspx
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 252 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20090729/5e8a0087/attachment.sig>
More information about the Warning
mailing list