Nach dem soeben gefixten Fehler mit den animierten Cursor-Dateien erwischt auch die heute geschlossene, kritische Lücke im Client/Server Runtime Subsystem (CSRSS) nicht nur die klassischen Windows-Versionen, sondern auch die Anwender mit dem neuesten und sichersten Windows aka Vista.Weitere Fehler im Universal Plug and Play (UPnP), im Content Management Server (CMS) und im Microsoft Agent stufen die Redmonder ebenfalls als kritisch ein, weil sie das Ausführen von Code übers Netz erlauben. Eine Schwachstelle im Windows-Kern ermöglicht es hingegen lediglich lokalen Nutzern, ihre Rechte auszuweiten, der zugehörige Patch rangiert in der Stufe wichtig.

Der CSRSS-Fehler im Zusammenhang mit Fehlermeldungen wurde bereits im Dezember bekannt. Damals redete das Microsoft Security Response Center noch von einer Möglichkeit für bereits angemeldete Benutzer, sich mehr Rechte zu verschaffen. Mittlerweile räumt der Betriebssystemhersteller ein, dass sich der Fehler auch über eine Webseite auslösen ließe. Folglich ist der Fehler für Windows 2000, XP, 2003 Server und auch Vista nun als kritisch eingestuft. Das zugehörige Bulletin MS07-021 beschreibt noch zwei weitere Fehler, von denen einer ausschließlich Vista betrifft.

Warum sich das Universal Plug&Play nur unter Windows XP durch spezielle HTTP-Anfragen den Speicher so durcheinander bringen lassen soll, dass man Code einschleusen und ausführen kann, lässt sich dem Security-Bulletin MS07-019 nicht entnehmen. Jedenfalls sind die betroffenen HTTP-Anfragen aufs lokale Netz beschränkt, was das Risiko reduziert.

Der Fehler im Windows Agent hingegen lässt sich laut Bulletin MS07-020 zwar übers Web, nicht aber bei Vista, mit dem Internet Explorer 7 oder den erweiterten Sicherheitseinstellungen des Internet Explorer bei Windows 2003 Server ausnutzen. Die beiden Lücken aus dem Security-Bulletin MS07-018 betreffen lediglich Microsofts Content Management Server, können dort aber den schlimmsten aller Fälle, nämlich den Einbruch übers Netz ermöglichen.

Dass der Windows-Kern fehlerhafte Zugriffsrechte beim Einblenden von Speichersegmenten in den Adressbereich eines Prozesses nicht unterbindet, erlaubt es lokalen Angreifern, sich Kontrolle über ein Windows-System zu verschaffen; laut Bulletin MS07-022 gilt dies jedoch nicht bei Windows Vista.

Insbesondere der CSRSS-Bug ist bereits bekannt, zumindest lokale Exploits existieren bereits. Es steht zu befürchten, dass die Technik, diesen Fehler übers Netz auszunutzen, ebenfalls keine Geheimwissenschaft bleibt. Somit ist hier wie auch beim bereits vergangene Woche veröffentlichten ANI-Update (für dessen Probleme mit diversen Programmen, darunter dem Elster-Steuerformular und dem Realtek HD Audio Control Panel, es bereits einen Patch gibt) zügiges Patchen angesagt. Bei den anderen Fehlern können sich Administratoren je nach System und Konfiguration ein wenig mehr Zeit zum Testen lassen. Endanwender sollten die Updates über die automatische Update-Funktion von Windows einspielen lassen.

Links:
- Quelle
- Microsoft Security Bulletin Summary für April 2007