Microsoft hat gestern Abend wie angekündigt ein außerordentliches Sicherheitsupdate für Windows 2000, Windows XP und Windows Server 2003 sowie für Windows Vista und Windows Server 2008 veröffentlicht. Der Patch soll eine schwerwiegende Lücke im RPC-Dienst (Remote Procedure Call) beheben.

Nach Angaben von Microsoft könnte die Schwachstelle in den Serverdiensten der genannten Betriebssysteme die Ausführung von Code über das Netzwerk mit Hilfe einer speziell präparierten Anfrage an den RPC-Dienst ermöglichen. RPC dient der Ausführung von Unterprogrammen auf anderen Computern im gemeinsamen Netzwerk.

Das besondere an der neuen Lücke ist die Möglichkeit, Unterprogramme ohne vorherige Zustimmung des Nutzers auszuführen. Hinzu kommt, dass sie praktisch eine Automatisierung der Interaktion über das Netzwerk erlaubt, das Ganze verhält sich fast wie eine selbst-replizierende Schadsoftware oder ein mit Würmern ausnutzbarer Exploit. Grundsätzlich erlaubt die Schwachstelle einem Angreifer die Ausführung beliebigen Codes ohne das Wissen des Nutzers.

Dies gilt allerdings nur für die älteren Windows-Versionen in dieser uneingeschränkten Form. Im Fall von Windows Vista und Windows Server 2008 ist ein Angriff nicht ohne die entsprechenden Login-Daten möglich. Microsoft stuft die Schwachstelle deshalb bei Vista und Server 2008 nicht als "kritisch", sondern als "wichtig" ein. Dies bedeutet jedoch nicht, dass die Lücke nicht ebenfalls ausgenutzt werden könnte.

Microsoft gibt nur selten außerordentliche Updates heraus. Schon 2006 gab es allerdings einen Patch, der ebenfalls eine RPC-Lücke betraf. Das nun erschienene neue Update ersetzt den alten Hotfix vom September 2006. Der neue Patch MS08-67 wird bereits über die automatische Updatefunktion von Windows ausgeliefert.

Weitere Informationen: Microsoft Security Bulletin MS08-67