Bereits Ende 2004 wollte Microsoft das erste Service Pack für Windows Server 2003 veröffentlichen. Doch außer einem 300 MByte großen Release Candidate vom 6. Dezember 2004 ist bislang noch nichts von einem großen Update-Paket zu sehen. Da das RC1 in keinem Fall auf Produktivmaschinen zum Einsatz kommen sollte, bleibt einem vorerst nur das Patchen einzelner Schwachstellen.
Wer sein System auf dem aktuellen Stand halten will, kommt um einen regelmäßigen Besuch der verschiedenen Microsoft-Download-Seiten nicht herum. Denn im vergangenen Jahr sind eine Reihe erheblicher Lücken in Windows Server 2003 entdeckt und zum Glück auch teilweise behoben worden. Ständig auf dem Laufenden über aktuelle Sicherheitsprobleme und deren Lösung hält Sie dabei unser kostenloser Security-Newsletter, der jetzt auch in einer täglichen Zusammenfassung erhältlich ist. Nähere Informationen finden Sie in diesem Artikel. Ständig aktuelle Warnungen lesen Sie auf unserer Seite Security-Reports 7-Tage-Rückblick.
Wichtige Informationen von Microsoft finden sich auf der Windows-2003-Download-Seite, in den Security-Bulletins und im Windows-Update. Die zuletzt genannte Seite müssen Sie allerdings mit dem Internet Explorer unter Windows 2003 besuchen, damit Ihnen die Updates für Windows 2003 angezeigt werden. Optional können Sie auch den Update-Katalog anwählen. Dazu aktivieren Sie auf dem Windows-Update unter dem Link "Windows Update anpassen" die Option "Verknüpfung für Update-Katalog unter Siehe auch anzeigen". Danach erhalten Sie einen zusätzlichen Link "Windows Update-Katalog". Dort können Sie für jedes beliebige Windows-Betriebssystem ab Windows 98 die entsprechenden Fixes abrufen.
Neu: Sicherheitslücken in WINS
Dieses Sicherheits-Update schließt zwei Lücken in Windows Internet Naming Service (WINS). Beide Lücken ermöglichen es einem erfolgreichen Angreifer, die vollständige Kontrolle über das betroffene System zu erlangen.
WINS überprüft Computernamen nicht korrekt. Grund ist ein ungeprüfter Puffer in der Methode, mit der WINS den Namenswert in einem speziell erstellten Paket überprüft. Diese Lücke können Hacker durch speziell manipulierte Netzwerkpakete ausnützen.
Die zweite Lücke wird durch die Methode verursacht, mit der WINS die Daten des Zuordnungskontexts überprüft. Diese Lücke können Hacker durch speziell präparierte Pakete ausnutzen.
Als erste Gegenmaßnahme empfiehlt Microsoft, den TCP-Port 42 und den UDP-Port 42 an der Firewall zu blockieren. Über diese Ports wird die Verbindung mit einem WINS-Remote-Server aufgebaut. Wird WINS nicht benötigt, dann rät Microsoft, den Dienst zu entfernen.
Dafür gehen Sie folgendermaßen vor: Klicken Sie auf "Start | Systemsteuerung" und dann auf "Software". Anschließend wählen Sie in der Kategorieansicht (Standardansicht) "Software" an und klicken auf "Windows-Komponenten hinzufügen/entfernen". Im Assistenten für Windows-Komponenten gehen Sie nun unter Komponenten auf "Netzwerkdienste" und dann auf "Details". Deaktivieren Sie nun das Kontrollkästchen WINS (Windows Internet Naming Service), um WINS zu entfernen. Danach muss nur noch der Assistent geschlossen werden.
Auf Grund der gravierenden Folgen rät Microsoft allen WINS-Nutzern die sofortige Installation des bereitgestellten Updates.
Datum | 11.01.2005 |
|---|---|
| |
Betrifft | Windows NT Server 4.0 SP6a, Windows NT Server 4.0 Terminal Server Edition SP6, Windows 2000 SP3 und SP4, Windows XP SP1, Windows XP 64-Bit Edition SP1, Windows XP 64-Bit Edition Version 2003, Windows Server 2003, Windows Server 2003 64-Bit Edition |
Wirkung | Remote-Codeausführung |
Patch | |
Abhilfe | Patch installieren |
Infos |
Neu: Fehlerereignisse 1003 und 1015 bei jedem Neustart
Protokolliert das System bei jedem Neustart die Ereignisse 1003 und 1015 im Anwendungsprotokoll, dann liegt die Ursache des Problems in einem zwar installierten, aber nicht konfigurierten SNMP-Dienst.
Die beiden Ereigniskennungen werden vom SNMP-Dienst (Simple Network Management Protocol) beim Neustart protokolliert, wenn die Datei "Evntagnt.dll" beim Starten des Dienstes nicht für die Debug-Ablaufverfolgung konfiguriert ist.
Das Auftreten der beiden Ereignisse verhindert zwei Einträge in der Registry. Fügen Sie dem Registrierungsschlüssel "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\SNMP_EVENTS\\ EventLog\\Parameters" die Werte TraceFileName und TraceLevel hinzu.
TraceFileName; Typ: REG_SZ; Wert: Null (leer)
TraceLevel; Typ: REG_DWORD; Wert: 32 (0x20)
Abhilfe schafft außerdem ein Patch, der allerdings nur beim kostenpflichtigen Microsoft Support erhältlich ist.
Datum | 20.09.2004 / Update 23.12.2004 |
|---|---|
| |
Betrifft | Windows Server 2003 Enterprise Edition, Windows Server 2003 Standard Edition |
Wirkung | Fehlermeldung im Ereignisprotokoll |
Patch | Beim Microsoft Support erhältlich |
Abhilfe | Patch installieren oder Registry ändern |
Infos |
Microsoft Baseline Security Analyzer 1.2.1
Der Microsoft Baseline Security Analyzer (MBSA) ist ein kostenloses Sicherheits-Tool, das seit der Version 1.2 auf Deutsch verfügbar ist. In der neuen Version kommt das Programm auch mit Sicherheitsprüfungen deutschsprachiger Windows-Versionen zurecht. Es setzt einen installierten Internet Explorer 5.01 oder höher voraus.
Der MBSA klopft einen Rechner nach Schwachstellen ab, die die Systemsicherheit beeinträchtigen können, und erstellt für jedes System einen detaillierten Bericht. Dieser warnt etwa vor fehlenden Sicherheits-Updates oder Passwörtern und schlägt Lösungen vor, wie man die Lücken schließen kann.
Während des Scan-Vorgangs werden Windows, der Internet Information Server (IIS), der SQL-Server sowie IE und Microsoft Office unter die Lupe genommen. Zusätzlich können Kennwörter vom MBSA auf ihre Sicherheit überprüft werden.
Eine vollständige Tabelle, welche Sicherheits-Updates der MBSA erkennt, finden Sie hier bei Microsoft.
Die detaillierten Ergebnisse schreibt das Tool in eine XML-Datei. Dies setzt eine installierte Version der Microsoft XML Core Services voraus, die es ebenfalls kostenlos zum Herunterladen gibt.
Datum | 20.01.2004 / Update vom 16.08.2004 |
|---|---|
| |
Betrifft | Windows 2000, P,S, AS; Windows NT 4.0, Windows XP, Windows Server 2003 |
Wirkung | Hilft, Sicherheitslöcher zu finden |
Programm-Download | |
Abhilfe | MBSA installieren |
Infos |
Kritische Sicherheitslücke in NNTP
Über eine von Microsoft nicht näher beschriebene Lücke im Network News Transfer Protocol (NNTP) können erfolgreiche Angreifer beliebigen Code auf dem betroffenen System ausführen. Für einen erfolgreichen Angriff muss der Angreifer eine speziell manipulierte Anforderung senden, die die Codeausführung von Remote-Standorten aus ermöglicht.
Als erste Gegenmaßnahme empfiehlt Microsoft bei Systemen, die über eine Firewall mit dem Internet verbunden sind, die betroffenen NNTP-Ports zu blockieren. Dies sind die Ports 119 und 563.
Laut Microsoft sind Windows NT Server 4.0, Windows 2000 Server und Windows Server 2003 weniger gefährdet, da NNTP nicht standardmäßig installiert wird. Darüber hinaus wird die betreffende Komponente auch bei der Installation von Internet-Informationsdiensten (IIS) nicht standardmäßig installiert. Trotzdem empfiehlt Microsoft die sofortige Installation des bereitgestellten Updates.
Datum | 12.10.2004 |
|---|---|
| |
Betrifft | Windows NT Server 4.0 mit SP 6a, Windows 2000 Server mit SP3 oder SP4, Windows Server 2003, Windows Server 2003 64-Bit-Edition, Exchange 2000 Server SP3 (mit Windows 2000 NNTP-Komponenten), Exchange Server 2003 (mit Windows 2000 oder Windows Server 2003 NNTP-Komponenten) |
Wirkung | Remote-Codeausführung |
Patch | |
Abhilfe | Patch installieren |
Infos |
Kritische Sicherheitslücke in SMTP
Über eine Lücke in der SMTP-Komponente können Angreifer die vollständige Kontrolle über ein System erlangen. Eine erfolgreiche Attacke setzt voraus, dass der Hacker den Server eine ganz bestimmte DNS-Abfrage verarbeiten lässt. Diese Abfrage ermöglicht es dann einem Angreifer, beliebigen Programmcode auf dem Rechner auszuführen. Nach Angaben von Microsoft tritt diese Sicherheitslücke auch bei der Routing-Komponente von Microsoft Exchange Server 2003 auf, wenn die Installation unter Microsoft Windows 2000 Service Pack 3 oder Microsoft Windows 2000 Service Pack 4 erfolgt ist.
Als erste Gegenmaßnahme empfiehlt Microsoft bei allen Systemen, die über eine Firewall mit dem Internet verbunden sind, den eingehenden TCP-Netzwerkverkehr an Port 53 zu blockieren. Dieser Port wird für DNS-Abfragen und -Antworten verwendet. Allerdings müssen durch diese Maßnahme alle DNS-Namensauflösungen per UDP-Anfragen erledigt werden. Dies kann zu einigen Funktionsbeeinträchtigungen führen. Beachten Sie deshalb die Informationen in dem unten aufgeführten Technet-Artikel.
Obwohl die SMTP-Komponente bei Windows Server 2003, Windows Server 2003 64-Bit-Edition sowie Windows XP 64-Bit-Edition Version 2003 nicht standardmäßig installiert wird, empfiehlt Microsoft die sofortige Installation des bereitgestellten Updates. Wer nicht sicher ist, ob das Update benötigt wird, kann dies mit dem Microsoft Baseline Security Analyzer (MBSA) überprüfen.
Datum | 12.10.2004 |
|---|---|
| |
Betrifft | Windows XP 64-Bit-Edition Version 2003, Windows Server 2003, Windows Server 2003 64-Bit-Edition, Exchange Server 2003 und Exchange Server 2003 SP1 unter Windows Server 2003 (verwendet die SMTP-Komponente aus Windows 2003), Exchange Server 2003 unter Microsoft Windows 2000 SP3 oder Microsoft Windows 2000 SP4 |
Wirkung | Remote-Codeausführung |
Patch | |
Abhilfe | Patch installieren |
Infos |
Sicherheitslücke in NetDDE-Diensten
Ein ungeprüfter Puffer in der NetDDE, dem Vorläufer von DCOM, lässt sich von einem Angreifer mittels einer speziell angefertigten Nachricht dazu ausnutzen, beliebigen Code auf dem System auszuführen. NetDDE wird immer noch von der Zwischenablage verwendet, um Daten über das Netzwerk auszutauschen. Auch Excel greift in bestimmten Szenarien auf NetDDE zurück.
Als erste Maßnahme empfiehlt Microsoft, zu prüfen, ob die NetDDE-Dienste gestartet werden. Standardmäßig sind diese Dienste unter Windows Server 2003 deaktiviert. Sollte dies nicht der Fall sein, können Sie die Dienste über die Dienstesteuerung deaktivieren.
Abhilfe schafft auch die Installation des bereitgestellten Updates. Es beseitigt die Lücke, indem es die einwandfreie Prüfung des Puffers sicherstellt.
Datum | 12.10.2004 |
|---|---|
| |
Betrifft | Windows 98, Windows 98 SE, Windows ME, Windows NT Server 4.0 SP6a, Windows NT Server 4.0 Terminal Server Edition SP6, Windows 2000 mit SP3 und SP4, Windows XP, Windows XP SP1, Windows XP 64-Bit-Edition SP1, Windows XP 64-Bit-Edition Version 2003, Windows Server 2003, Windows Server 2003 64-Bit-Edition |
Wirkung | Remote-Codeausführung, DoS, Rechteausweitung |
Patch | |
Abhilfe | Patch installieren |
Infos |
Kumulatives Update für Microsoft RPC/DCOM
Remote Procedure Call (RPC) ist ein Protokoll, das die direkte Kommunikation zwischen Prozessen regelt und den Zugriff auf Dienste anderer Rechner ermöglicht. RPC/DCOM (Distributed Component Object Model) weist mehrere neue Sicherheitslücken auf.
Die RPC-Laufzeitbibliothek besitzt eine Sicherheitslücke, die dann auftritt, wenn zwei separate Threads des Betriebssystems versuchen, innerhalb eines bestimmten Zeitrahmens speziell gestaltete Nachrichten zu verarbeiten. Dieser Vorgang wird als "Race-Bedingung" bezeichnet. Diese Bedingung kann dazu führen, dass die RPC-Laufzeitbibliothek interne Datenstrukturen nicht korrekt ändert. Ein Hacker, der diese Lücke ausnutzt, könnte die vollständige Kontrolle über den Rechner erlangen oder ein DoS (Denial of Service) herbeiführen.
Der RPCSS-Dienst weist ebenfalls eine Lücke auf. Wird von einem Angreifer eine speziell manipulierte Nachricht an den RPCSS-Dienst gesendet, kann der Dienst unter Umständen freigegebenen Speicher nicht neu anfordern. Dies kann zu einem Denial of Service führen. Der Dienst wird blockiert und reagiert nicht mehr.
Auch die Proxy-Komponenten CIS (COM Internet Services) und RPC über HTTP weisen eine DoS-Sicherheitsanfälligkeit auf. Wenn eine Weiterleitungsanforderung an ein System diese Komponenten durchläuft, könnte ein Hacker auf die Anforderung mit einer speziell manipulierten Nachricht antworten, die einen DoS verursacht.
Abhilfe schafft das von Microsoft bereitgestellte Update, das umgehend installiert werden sollte.
Datum | 13.04.2004 / Update 21.04.2004 |
|---|---|
| |
Betrifft | Windows 2000 SP 2, 3, 4; NT 4.0 Workstation, Server und Terminal Server mit SP 6a, Windows XP, XP SP 1, XP 64-Bit mit SP 1, Windows Server 2003, Server 2003 64-Bit, Windows 98, 98 SE und Windows ME |
Wirkung | Remote-Codeausführung, DoS |
Patch | |
Abhilfe | Update installieren |
Infos |
Wichtiges Sicherheits-Update für LSASS
Dieses Update behebt mehrere neu entdeckte Sicherheitsanfälligkeiten. Über diese Lücken können Hacker entweder einen Pufferüberlauf (Buffer Overrun) verursachen oder ein Fehlschlagen der entsprechenden Dienste (DoS) herbeiführen.
Betroffen ist etwa der LSASS-Dienst (Local Security Authority Subsystem Service). Dieser stellt eine Schnittstelle zum Verwalten der lokalen Sicherheit, der Domänen-Authentifizierung sowie für Active-Directory-Prozesse zur Verfügung. Der LSASS-Dienst weist einen ungeprüften Puffer auf, über den ein Hacker mit einer speziell manipulierten Nachricht die Kontrolle über das System übernehmen kann. Von diesem kritischen Fehler sind hauptsächlich Windows 2000 und Windows XP betroffen.
Außerdem weisen unter anderem folgende Dienste beziehungsweise Protokolle Fehler auf: LDAP (Lightweight Directory Access Protocol), das PCT-Protokoll (Private Communications Transport), der Windows-Anmeldevorgang (Winlogon), die Windows-Metafile-Bildformate (WMF) und die Enhanced-Metafile-Bildformate (EMF). Eine vollständige Aufstellung aller behobenen Lücken und die Beurteilung ihres Schweregrads für die einzelnen Windows-Versionen finden Sie in diesem Technet-Artikel.
Auf Grund der vielfältigen Sicherheitslücken empfiehlt Microsoft die sofortige Installation des Updates.
Datum | 13.04.2004 / Update 15.05.2004 |
|---|---|
| |
Betrifft | Windows 2000 SP 2, 3, 4; NT 4.0 Workstation und Server mit SP 6a, Windows XP 64-Bit mit SP 1, Windows Server 2003, Server 2003 64-Bit, Netmeeting, Windows 98, 98 SE und Windows ME |
Wirkung | Remote-Codeausführung, DoS |
Patch | |
Abhilfe | Update installieren |
Infos |
Kritischer Pufferüberlauf in ASN.1 Library
In der Microsoft ASN.1-Library (msasn1.dll) treten beim ASN.1-BER-Decoding Fehler auf, die es einem Angreifer ermöglichen, über mehrere sicherheitsrelevante Dienste einen Pufferüberlauf herbeizuführen.
Dafür müssen nur entsprechend manipulierte ASN.1-Daten an den Dienst beziehungsweise die Anwendung gesendet werden. Ein erfolgreicher Hacker kann beliebigen Code im Sicherheitskontext des lokalen Systems ausführen.
Auf Grund der möglichen Folgen dieser großen Sicherheitslücke empfiehlt Microsoft die sofortige Installation des Patches.
Diese Lücke finden Sie in unserem Security-Newsletter unter der ID 2093.
Datum | 10.02.2004 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS, Datacenter Server, NT 4.0, XP, Server 2003 |
Wirkung | Remote-Codeausführung |
Patch | |
Abhilfe | Patch installieren |
Infos |
Sicherheitslücke in MDAC-Komponente
Microsoft Data Access Components (MDAC) sind eine Sammlung von Komponenten, die Programmen den Zugriff auf Datenbanken und das Ändern der darin enthaltenen Daten vereinfacht. Etwa für das Herstellen von Verbindungen zu Remote-Datenbanken und das Übermitteln von Daten an einen Client. Über eine Lücke in einer bestimmten MDAC-Komponente kann ein Angreifer einen Pufferüberlauf (Buffer Overrun) verursachen und anschließend unberechtigt Aktionen ausführen.
Deren Umfang hängt von den Berechtigungen ab, mit denen das Programm ausgeführt wird, das MDAC verwendet. Besonders gefährlich ist es, wenn das Programm - etwa ein Dienst - im lokalen Systemkontext läuft oder der angemeldete Benutzer Administratorrechte hat.
Abhilfe schafft das von Microsoft bereitgestellte Sicherheits-Update. Wer nicht sicher ist, welche MDAC-Version auf seinem System installiert ist, findet alle notwendigen Angaben auf dieser Microsoft-Support-Seite.
Diese Sicherheitslücke finden Sie in unserem Security-Newsletter unter der ID 1878.
Datum | 13.01.2004 / Update 30.01.2004 |
|---|---|
| |
Betrifft | MDAC Version 2.5, 2.6, 2.7, 2.8 |
Wirkung | Angreifer kann Remote Code ausführen |
Patch | |
Abhilfe | Patch installieren |
Infos |
Kritischer Pufferüberlauf im Nachrichtendienst
Der Nachrichtendienst (Messenger Service) übermittelt Meldungen, die durch den Warndienst zwischen Clients und Servern ausgetauscht werden. Der Messenger Service hat eine Sicherheitslücke. Er überprüft die Länge einer Nachricht nicht einwandfrei, bevor diese an den zugewiesenen Puffer übergeben wird. Über diese Lücke kann ein Hacker einen Pufferüberlauf (Buffer Overrun) verursachen und anschließend unberechtigt Programme ausführen oder ein Fehlschlagen des Nachrichtendienstes herbeiführen.
Microsoft empfiehlt den Nachrichtendienst umgehend zu deaktivieren und zu überprüfen, wie der Patch installiert werden kann. Beim Installieren des Patches für Windows-4.0-Clients ist Vorsicht geboten. Hier kann es zu Netzwerkproblemen kommen. Informationen dazu finden Sie auf dieser Support-Seite.
Diese Lücke finden Sie in unserem Security-Newsletter unter der ID 1267.
Datum | 15.10.2003 / Update 02.12.2003 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS, NT 4.0, XP, Server 2003 |
Wirkung | Codeausführung |
Patch | |
Abhilfe | Messenger Service deaktivieren, Patch installieren |
Infos |
Kritischer Pufferüberlauf in RPCSS-Dienst
Remote Procedure Call (RPC) ist ein Protokoll, das die direkte Kommunikation zwischen Prozessen regelt und den Zugriff auf Dienste anderer Rechner ermöglicht.
Der Teil des RPCSS-Dienstes, der RPC-Nachrichten für die DCOM-Aktivierung (Distributed Component Object Model) verarbeitet, hat drei Sicherheitslücken, die durch die falsche Verarbeitung von ungültigen Nachrichten auftreten. Bei zwei Fehlern kann ein Angreifer einen Pufferüberlauf (Buffer Overrun) verursachen und danach alle Aktionen ausführen, die auch der angemeldete Benutzer vornehmen kann. Der dritte Fehler kann bei einem erfolgreichen Angriff zu einem DoS (Denial of Service) führen. Der RPC-Dienst wird blockiert und reagiert nicht mehr.
Der bereitgestellte Patch beseitigt die Sicherheitslücke. Als erste Abwehrmaßnahme empfiehlt Microsoft, alle Ports zu blockieren, die nicht tatsächlich verwendet werden. Zusätzliche Informationen zu den von RPC verwendeten Ports finden Sie auf dieser Microsoft-Support-Seite.
Die Lücke ist beschrieben im Security-Newsletter unter der ID 962.
Datum | 10.09.2003 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS, Datacenter Server, NT 4.0, XP, Server 2003 |
Wirkung | Remote-Codeausführung, DoS |
Patch | |
Abhilfe | Patch installieren |
Infos |
Neu: Kritische Lücke in HTML-Hilfe
Dieses Update behebt eine Sicherheitslücke bei ActiveX-Steuerelementen in der HTML-Hilfe. Die Lücke können Angreifer mit Hilfe von speziell konzipierten Websites oder E-Mails nutzen und die vollständige Kontrolle über das attackierte System erlangen - vorausgesetzt, ein Benutzer ist mit Administratorrechten angemeldet.
Als erste Gegenmaßnahme empfiehlt es sich, die Einstellungen der Internet- und lokalen Intranet-Zone auf "Hoch" zu setzen, um vor der Ausführung von ActiveX-Steuerelementen und Active Scripting eine Bestätigung zu erhalten.
Laut Microsoft ist auch der Internet Explorer 6.0 SP1 unter Windows NT Server 4.0 SP6a und Windows NT Server 4.0 Terminal Server Edition SP6 betroffen.
Abhilfe schaffen die von Microsoft bereitgestellten Updates, die Sie umgehend installieren sollten.
Datum | 01.01.2005 |
|---|---|
| |
Betrifft | Windows 2000 SP3, SP4, Windows XP SP1, SP2, Windows XP 64-Bit Edition SP1, Windows XP 64-Bit Edition Version 2003, Windows Server 2003, Windows Server 2003 64-Bit Edition |
Wirkung | Remote-Codeausführung |
Patch | |
Abhilfe | Patch installieren |
Infos |
Neu: Internet Explorer musste beendet werden
Benutzer von Windows Explorer, Internet Explorer oder MSN Explorer können mit folgender Fehlermeldung konfrontiert werden: "Microsoft Internet Explorer hat ein Problem festgestellt und muss beendet werden. Bitte entschuldigen Sie die Unannehmlichkeiten." Nach Angaben von Microsoft wird die oben beschriebene Fehlermeldung durch Probleme mit der Datei "Pdm.dll" Version 6.0.0.8169 verursacht.
Microsoft hat Updates bereitgestellt, die eine neuere Version der Datei auf dem Rechner installieren (Version 6.0.0.8424 oder höher). Wer noch mit Windows 98 oder Windows ME arbeitet, dem empfiehlt Microsoft, das Scriptdebugging im Internet Explorer zu deaktivieren. Für diese Betriebssysteme stehen keine Updates zur Verfügung.
Datum | 21.12.2004 |
|---|---|
| |
Betrifft | Internet Explorer 6.0 unter: Windows Server 2003 Standard Edition, Windows XP Standard Edition, Windows 2000 Standard Edition, Windows NT 4.0, Windows 98 SE, Windows 98 Standard Edition; Internet Explorer 5.5 SP1 unter: Windows 2000 Standard Edition, Windows NT 4.0, Windows ME, Windows 98; Internet Explorer 5.01 SP1 unter: Windows 2000 Standard Edition, Windows NT 4.0, Windows ME, Windows 98 SE, Windows 98 Standard Edition, Windows 95 SP; Internet Explorer 5.0 unter: Windows NT 4.0, Windows ME, Windows 98 SE, Windows 98 Standard Edition, Windows 95 SP; MSN Explorer: Windows Server 2003, Windows XP, Windows 2000, Windows NT 4.0 Server Standard und Workstation, Windows ME, Windows 98 SE und Standard, Windows Small Business Server 2003 Premium Edition, Windows Small Business Server 2003 Standard Edition; |
Wirkung | Anwendung stürzt ab |
Patch | |
Abhilfe | Patch installieren |
Infos |
Kumulatives Sicherheits-Update für Internet Explorer
Dieses Update behebt insgesamt acht Schwachstellen im Internet Explorer. Über gravierende Lücken können externe Angreifer in den schwerwiegendsten Fällen die vollständige Kontrolle über das attackierte System erlangen.
Im Einzelnen behebt das Update folgende Sicherheitslücken:
1. Die erste Lücke beruht auf einem Pufferüberlauf in der Verarbeitung von Cascading Style Sheets. Dazu muss der Angreifer lediglich eine speziell präparierte Webseite erstellen und den Benutzer auf diese Seite locken. Durch Ausnutzen der Lücke kann er kompletten Systemzugriff und Programme mit den Rechten des angegriffenen Benutzers erhalten. Ein Angriff per HTML-E-Mail ist ebenfalls möglich.
2. Ein Fehler im Sicherheitszonenmodell ermöglicht es Angreifern, Scripts im Kontext der lokalen Zone laufen zu lassen. Auch hierfür muss der Angreifer eine spezielle Webseite erstellen und den Benutzer dorthin locken oder eine HTML-E-Mail an das Opfer schicken.
3. Die für die Installation von aktiven Komponenten zuständige Routine Inseng.dll weist einen ungeprüften Puffer auf, über den ein Angreifer beliebigen Code auf dem System ausführen kann. Voraussetzung dafür ist, dass die Ausführung von ActiveX -Komponenten erlaubt ist. Angriffsweg ist wiederum eine Webseite oder eine HTML-E-Mail.
4. Bei der Verarbeitung von Drag&Drop-Events tritt ein Fehler auf, der es Angreifern ermöglicht, beliebige Dateien auf dem System des Opfers abzuspeichern, unter anderem auch im Autostart-Ordner, so dass ein Programm beim nächsten Systemstart automatisch ausgeführt wird.
5. Auf Systemen mit Double Byte Character Set lässt sich die in der Adressleiste angezeigte URL so fälschen, dass sie nicht die tatsächlich besuchte Website anzeigt.
6. Wenn ein installiertes Plug-in den IE zu einer anderen Seite navigiert, ist es möglich, dass in der Adressleiste eine falsche URL angezeigt wird (URL-Spoofing).
7. Ein Fehler bei der Verarbeitung von Script-Befehlen in Image-Tags (IMG) ermöglicht es einem Angreifer, beliebige Dateien ohne Benutzerinteraktion auf der Festplatte abzulegen, unter anderem auch im Autostart-Ordner.
8. Bei der Validierung des Cache-Inhalts von SSL-geschützten Sites existiert ein Fehler, über den ein Angreifer beliebigen Scriptcode im Kontext der SSL-Site ausführen lassen kann.
Besonders kritisch wird es, wenn das Opfer mit Administratorrechten ausgestattet ist. Dann kann ein erfolgreicher Hacker die vollständige Kontrolle über das betroffene System erlangen. Daher ist eine erste Schutzmaßnahme gegen derartige Angriffe, dass man Accounts für die tägliche Arbeit nur mit eingeschränkten Rechten ausstattet.
Auf Grund der gravierenden Folgen dieser Sicherheitslücken empfiehlt Microsoft die sofortige Installation des Updates.
Datum | 12.10.2004 |
|---|---|
| |
Betrifft | Internet Explorer 5,01 mit SP3, SP4, IE 5.5 mit SP2, IE 6 für Windows XP mit SP2, IE 6.0 mit SP1 (alle Versionen vor Windows 2003), Internet Explorer 6 für Windows 2003 (einschließlich 64-Bit-Edition) |
Wirkung | Remote-Codeausführung |
Patch | |
Abhilfe | Patch installieren |
Infos |
Sicherheitslücke in Microsofts Java Virtual Machine
Durch einen Bug in der Java Virtual Machine (JVM) von Microsoft kann ein Hacker beliebigen Code auf einem angegriffenen System ausführen. Verantwortlich für das Leck ist der Byte Code Verifier, eine Komponente der JVM, der eine bestimmte Codesequenz nicht korrekt prüft, so dass auch die folgenden Sicherheitschecks versagen. Über ein entsprechend konstruiertes Java Applet, etwa auf einer Website, kann ein Angreifer Code mit den Rechten des lokal angemeldeten Users ausführen.
Für die betroffenen Versionen der JVM stellt Microsoft einen Patch über die Seite Windows-Update bereit.
Datum | 09.04.2003 |
|---|---|
| |
Betrifft | Alle Windows-Versionen mit der Microsoft JVM bis einschließlich Build 5.0.3809 |
Wirkung | Ausführen beliebigen Codes |
Patch | Über die Seite Windows Update |
Abhilfe | Patch installieren |
Informationen |
Kritische Lücken in HTML-Hilfe und showHelp-URLs
Dieses Update behebt zwei Sicherheitslücken, über die speziell gestaltete Websites das betroffene System kompromittieren können.
1) Ein von Microsoft nicht näher beschriebener Fehler bei der Verarbeitung speziell konzipierter showHelp-URLs ermöglicht es Angreifern, Code im Sicherheitskontext der lokalen Zone von Internet Explorer auszuführen.
Besonders kritisch wird es, wenn ein Benutzer mit Administratorrechten angemeldet ist. Dann kann ein Angreifer die vollständige Kontrolle über das betroffene System erlangen.
2) Ein von Microsoft nicht näher beschriebenes Problem in HTML-Hilfe ermöglicht es Angreifern, die vollständige Kontrolle über das attackierte System zu erlangen. Vorausgesetzt ein Benutzer ist mit Administratorrechten angemeldet.
Laut Microsoft sind alle Versionen von Microsoft Windows mit Internet Explorer 5.5 SP2 und Internet Explorer 6 SP1 betroffen.
Abhilfe schaffen die von Microsoft bereitgestellten Updates, die Sie umgehend installieren sollten.
Datum | 13.07.2004 |
|---|---|
| |
Betrifft | Windows 2000 SP4, Windows XP SP1, Windows XP 64-Bit Edition SP1, Windows XP 64-Bit Edition Version 2003, Windows Server 2003, Windows Server 2003 64-Bit Edition |
Wirkung | Remote-Codeausführung |
Patch | |
Abhilfe | Update installieren |
Infos |
Wichtiges Security-Update für IE
Ein Fehler beim Parsen von URLs, die spezielle Zeichen enthalten, kann dazu führen, dass in der Statusleiste des Internet Explorer eine andere URL angezeigt wird, als die tatsächlich bei einem Klick aufgerufene.
Des Weiteren ermöglicht eine Lücke im Sicherheitsmodell, das die verschiedenen Zonen (Internet, Vertrauenswürdige Sites, Lokaler Rechner ...) voneinander abschotten soll, die Ausführung von Scripten mit den Rechten des lokalen Benutzers.
Die beiden Sicherheitslücken lassen sich durch eine speziell aufgebaute Webseite ausnutzen, die entweder auf einem Server bereitgestellt oder dem Opfer per E-Mail zugestellt wird. Bei der ersten Lücke muss das Opfer zusätzlich auf einen Link klicken.
Über die zweite Lücke kann der Angreifer, sofern das Opfer über entsprechende Privilegien verfügt, beliebige Programme aus dem Internet herunterladen und installieren. Daher ist eine erste Schutzmaßnahme gegen derartige Angriffe, dass man Accounts für die tägliche Arbeit nur mit eingeschränkten Rechten ausstattet.
Die Anzeige gefälschter URLs im Browser hat Microsoft durch einen radikalen Schritt gelöst. Die Unterstützung für Benutzernamen und Passwörter in URLs im Internet Explorer wurde schlichtweg abgeschafft. Also ist der Aufruf einer Website mittels der Syntax "http(s)://username:password@server/resource.ext" nach Einspielen des Updates nicht mehr möglich.
Nähere Informationen zum URL-Spoofing finden Sie in unserem Security-Newsletter unter der ID 1652.
Die Umgehung des Sicherheitsmodells ist im Security-Newsletter ID 1549 beschrieben.
Datum | 02.02.2004 / Update 10.02.2004 |
|---|---|
| |
Betrifft | Windows Internet Explorer 5.01, 5.5 und 6 |
Wirkung | Angreifer kann gefälschte URLs im IE anzeigen oder Programme einschleusen |
Patch | |
Abhilfe | Patch installieren |
Infos |
Leck im HTML-Konverter
Windows verfügt über einen integrierten Konverter, der dafür sorgt, dass Anwender Dateien im HTML-Format anzeigen, importieren oder speichern können. Eine speziell präparierte Anfrage an die Konvertierroutine bewirkt einen Pufferüberlauf.
Diesen Fehler kann ein Angreifer ausnutzen, um Code mit den Rechten des angemeldeten Users auszuführen. Da sowohl der Internet Explorer als auch Outlook (Express) den HTML-Konverter nutzen, lässt sich eine solche Attacke über eine Webseite oder eine E-Mail durchführen.
Microsoft stellt Patches für alle betroffenen Windows-Versionen zur Verfügung.
Datum | 09.07.2003 |
|---|---|
| |
Betrifft | Windows 98/Me/NT4.0/2000/XP/Server 2003 |
Wirkung | Ausführen beliebigen Codes |
Patch | |
Abhilfe | Patch installieren |
Informationen |
Pufferüberlauf im Hilfe- und Supportcenter
Das Hilfe- und Supportcenter (HSC) bietet Unterstützung zu zahlreichen Themen. Es liefert Informationen zu bestimmten Features, unterstützt das Herunterladen von Software-Updates und deren Installation und hilft dabei, die Kompatibilität von Hardware zu prüfen. Die Verbindung zum HSC wird durch eine URL-Verknüpfung hergestellt, die die Präfix hcp:// besitzt. Eine mit dem HCP-Protokoll verwendete Datei weist eine Sicherheitslücke auf. Sie enthält einen ungeprüften Puffer.
Diese Datei wird vom Hilfe- und Supportcenter verwendet und automatisch beim Start von HSC aufgerufen. Über diese Lücke können Angreifer einen Pufferüberlauf (Buffer Overrun) verursachen und danach unberechtigt Programme ausführen.
Die Sicherheitslücke lässt sich durch speziell konzipierte Webseiten ausnutzen, die auf einem Server bereitgestellt oder dem Opfer als HTML-Nachricht gesendet werden. Öffnet der Empfänger die Nachricht, kann die Webseite versuchen, die Schwachstelle anzugreifen.
Abhilfe schafft die Installation des bereitgestellten Patches, der den ungeprüften Puffer korrigiert. Für Windows 2000 erfordert er ein installiertes Service Pack 2, 3, oder 4.
Im Security-Newsletter-Archiv finden Sie die Lücke unter der ID 1268.
Datum | 15.10.2003 / Update 22.10.2003 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS, Datacenter Server, Me, XP, NT Server 4.0, Server 2003 |
Wirkung | Remote-Codeausführung |
Patch | |
Abhilfe | Patch installieren |
Infos |
Kritische Lücke im Hilfe- und Supportcenter
Das Hilfe- und Supportcenter (HSC) bietet Unterstützung zu zahlreichen Themen. Es liefert Informationen, unterstützt das Herunterladen von Software-Updates und deren Installation und hilft dabei die Kompatibilität von Hardware zu prüfen. Die Verbindung zum HSC wird durch eine URL-Verknüpfung hergestellt, die die Präfix hcp:// besitzt.
Bei der Überprüfung von Eingaben tritt ein Fehler auf. Dieser kann es externen Angreifern ermöglichen über speziell gestaltete HCP-URLs und den Internet Explorer oder Outlook beliebigen Code auf dem System auszuführen.
Microsoft empfiehlt, das bereitgestellte Update umgehend zu installieren. Es schließt die Sicherheitslücke, indem es die Überprüfung der an das HSC übergebenen Daten ändert. Achtung: Das Sicherheits-Update wird nicht korrekt installiert, wenn der Hilfe- und Supportdienst deaktiviert ist!
Zwar scheint das Update grundsätzlich ordnungsgemäß installiert zu sein, doch wird die im Archiv "Hsc.system.errors.connection.htm.cab" enthaltene Datei "Connection.htm" nicht im Ordner "%systemroot%\\PCHealth\\HelpCtr\\System\\errors" installiert. Zusätzlich können im Systemereignisprotokoll Fehlermeldungen erscheinen.
Um das Problem zu beseitigen, setzen Sie den Hilfe- und Supportdienst zunächst auf "Automatisch", bevor Sie das Sicherheits-Update installieren.
Wer nicht sicher ist, ob das Update auf seinem System benötigt wird, der kann dies mit dem Microsoft Security Baseline Analyzer (MBSA) prüfen.
Datum | 11.05.2004 |
|---|---|
| |
Betrifft | Windows XP SP1, XP 64-Bit Edition SP1, XP 64-Bit Edition Version 2003, Windows Server 2003, Windows Server 2003 64-Bit Edition |
Wirkung | Remote-Codeausführung |
Patch | |
Abhilfe | Update installieren |
Infos |
Neu: Benutzerprofile werden beim Abmelden nicht entladen
Wenn Windows beim Abmelden Programme nicht korrekt beendet und deshalb Ressourcen nicht freigibt, dann kann das an folgenden Problemen liegen: Es werden Benutzerprofile nicht entladen oder Server-gespeicherte Profile nicht zusammengeführt. Außerdem kann die Größenbeschränkung der Registrierung erreicht werden. Oder der Abmeldevorgang dauert ungewöhnlich lange und es erscheint folgende Nachricht: "Einstellungen werden gespeichert...".
Darüber hinaus finden sich Ereigniseinträge im Anwendungsprotokoll. Eine genaue Aufstellung der Einträge finden Sie in dem unten angegebenen Knowledgebase-Artikel.
Abhilfe verspricht hier das Microsoft-Programm UPHClean (User Profile Hive Cleanup Service). Die Software überwacht das System beim Entladen von Benutzerprofilen und erzwingt notfalls die Freigabe von noch geöffneten Ressourcen. Benutzerprofile können nun entladen und zusammengeführt werden.
Datum | 06.06.2004 / Update 29.12.2004 |
|---|---|
| |
Betrifft | Windows Server 2003 Enterprise Edition, Windows Server 2003 Standard Edition, Windows XP Professional, Windows XP Home, Windows 2000 Server, Windows 2000 Professional, Windows NT Server 4.0 Standard, Windows NT Workstation 4.0 Developer Edition |
Wirkung | Benutzerprofile werden nicht entladen, keine Freigabe von Ressourcen |
Programm-Download | |
Abhilfe | UPHClean installieren |
Infos |
Neu: Kritische Lücke bei Cursor- und Symbolformaten
Dieses Update beseitigt Sicherheitslücken, die durch Fehler bei der Verarbeitung von Cursors, animierten Cursors und Symbolen entstehen. Angreifer können diese Lücke mit Hilfe von speziell konzipierten Websites oder E-Mails nutzen.
Im gravierendsten Fall kann ein Angreifer dadurch die vollständige Kontrolle über den attackierten Server erlangen. Allerdings setzt dies voraus, dass ein Benutzer mit Administratorrechten angemeldet ist. Die Lücke kann aber auch von Hackern dafür genutzt werden, schädliche Cursors oder Symbole zu erstellen, die das Betriebssystem zum Absturz bringen können.
Abhilfe schaffen die von Microsoft bereitgestellten Updates. Sie stellen sicher, dass die Symbolformate von animierten Cursors und Symbolen vor der Darstellung überprüft werden. Dieses Sicherheits-Update ersetzt das Update MS03-045.
Datum | 11.01.2005 |
|---|---|
| |
Betrifft | Windows NT Server 4.0 SP6a, Windows NT Server 4.0 Terminal Server Edition SP6, Windows 2000 SP3 und SP4, Windows XP SP1, Windows XP 64-Bit Edition SP1, Windows XP 64-Bit Edition Version 2003, Windows Server 2003, Windows Server 2003 64-Bit Edition |
Wirkung | Remote-Codeausführung |
Patch | |
Abhilfe | Patch installieren |
Infos |
Neu: Sicherheitslücke im Indexdienst
Mit diesem Update schließt Microsoft eine Sicherheitslücke beim Indexdienst. Die Lücke entsteht durch einen nicht näher beschriebenen Fehler bei der Überprüfung von Abfragen. Diesen Fehler kann ein erfolgreicher externer Angreifer nutzen, um die vollständige Kontrolle über das attackierte System zu erlangen.
Als erste Gegenmaßnahme empfiehlt Microsoft, an der Firewall die UDP-Ports 137 und 138 sowie die TCP-Ports 139 und 445 zu blockieren. Wer den Indexdienst nicht benötigt, sollte diesen entfernen.
Auf Grund der gravierenden Folgen empfiehlt Microsoft allen Anwendern die Installation dieses Updates. Es beseitigt die Fehler bei der Überprüfung von Abfragen und enthält zusätzlich auch ein in Sachen Sicherheit verbessertes ActiveX-Steuerelement "Microsoft.ISAdm.1".
Datum | 11.01.2005 |
|---|---|
| |
Betrifft | Windows 2000 SP3 und SP4, Windows XP SP1, Windows XP 64-Bit Edition SP1, Windows XP 64-Bit Edition Version 2003, Windows Server 2003, Windows Server 2003 64-Bit Edition |
Wirkung | Remote-Codeausführung |
Patch | |
Abhilfe | Patch installieren |
Infos |
Fehler in Authenticode-Überprüfung
Authenticode sorgt dafür, dass ActiveX-Steuerelemente nicht automatisch installiert werden. Erst nachdem Authenticode den Anbieter identifiziert und bestätigt hat, dass keine Manipulation vorliegt, kann man entscheiden, ob das Steuerelement installiert wird. Ein Bug bei der Autorisierungsüberprüfung kann dazu führen, dass ein ActiveX-Steuerelement bei zu geringem Arbeitsspeicher ohne vorherige Abfrage heruntergeladen und installiert wird.
Die Sicherheitslücke lässt sich entweder mit speziell gestalteten Webseiten ausnutzen oder der Angreifer sendet seinem Opfer eine besonders gestaltete HTML-E-Mail. Wird diese Nachricht geöffnet, können nicht autorisierte Steuerelemente installiert und ausgeführt werden.
Der bereitgestellte Patch beseitigt die Lücken. Es stellt sicher, dass Authenticode immer vom Benutzer eine einwandfreie Bestätigung verlangt. Als erste Gegenmaßnahme empfiehlt Microsoft das Deaktivieren von ActiveX-Downloads im Internet Explorer.
In unserem Security-Newsletter finden Sie diese Lücke unter der ID 1265.
Datum | 10.02.2004 |
|---|---|
| |
Betrifft | Windows 2000 S, NT Server 4.0, Server 2003 |
Wirkung | Remote-Codeausführung |
Patch | |
Abhilfe | Patch installieren |
Infos |
Kumulatives Sicherheits-Update für Outlook Express
Auch wenn ein Programm wie Outlook Express auf einem Server eigentlich nichts verloren hat: Das Mail-Programm Outlook Express besitzt eine kritische Lücke, über die Code von externen Stationen ausgeführt werden kann. Betroffen sind alle Windows-Versionen, die Outlook Express 5.5 oder 6.0 enthalten.
Der von Microsoft nicht näher beschriebene Fehler liegt bei der Verarbeitung ganz speziell gestalteter MHTML-URLs vor. Ein Hacker hätte dadurch die Möglichkeit, HTML-Code im Sicherheitskontext des lokalen Benutzers auszuführen.
Abhilfe verspricht das von Microsoft bereitgestellte kumulative Update, das alle bislang veröffentlichten Patches für Outlook Express ersetzt.
Datum | 13.04.2004 |
|---|---|
| |
Betrifft | Alle Windows-Versionen mit Outlook Express 5.5 SP2, Outlook Express 6, Outlook Express 6 SP1, Outlook Express 6 (64-Bit Edition), Outlook Express 6 SP1 (64-Bit Edition) |
Wirkung | Remote-Codeausführung |
Patch | |
Abhilfe | Update installieren |
Infos |
Sicherheitslücke in der Windows-Shell
Dieses Update behebt eine neu entdeckte Sicherheitsanfälligkeit in der Windows-Shell. Ein erfolgreicher Angriff ermöglicht es, beliebigen Code auf dem attackierten System auszuführen. Dafür muss der Angreifer einen Benutzer dazu verleiten, eine manipulierte Website zu besuchen. Dies kann er durch einen Link oder durch eine manipulierte HTML-E-Mail mit einem speziell gestalteten Link erreichen. In beiden Fällen muss der Angreifer den Benutzer zu einem Klick auf den betreffenden Link veranlassen.
Des Weiteren behebt das aktualisierte Update einen Fehler in der Konvertierung von Programmgruppen, der Windows Server 2003 allerdings nicht betrifft.
Besonders kritisch wird es, wenn der Benutzer mit Administratorrechten angemeldet ist. Dann kann ein erfolgreicher Angreifer die vollständige Kontrolle über das betroffene System erlangen.
Auf Grund der gravierenden Folgen empfiehlt Microsoft die sofortige Installation des bereitgestellten Patches.
Datum | 13.07.2004 / Update 12.10.2004 |
|---|---|
| |
Betrifft | Windows NT Workstation und Server 4.0 SP 6a, Windows NT Server 4.0 Terminal Server Edition SP 6, Windows 2000 SP4, Windows XP SP1; Windows XP 64-Bit-Edition SP1, Windows XP 64-Bit-Edition Version 2003, Windows Server 2003 |
Wirkung | Remote-Codeausführung |
Patch | |
Abhilfe | Update installieren |
Infos |
Kritische Lücke in komprimierten Ordnern (ZIP)
Durch eine Schwachstelle in komprimierten Ordnern (ZIP) können externe Angreifer in den schwerwiegendsten Fällen die vollständige Kontrolle über das betroffene System erlangen. Die Lücke entsteht durch einen ungeprüften Puffer und die Art und Weise, wie Windows speziell gestaltete komprimierte Dateien verarbeitet.
Die Schwachstelle können Hacker allerdings nur dann nutzen, wenn Sie das Opfer dazu verleiten können, speziell präparierte Websites zu besuchen. Öffnen Sie deshalb nur absolut vertrauenswürdige Websites. Außerdem empfiehlt es sich, Accounts für die tägliche Arbeit nur mit eingeschränkten Rechten auszustatten.
Auf Grund der gravierenden Folgen empfiehlt Microsoft die sofortige Installation des bereitgestellten Patches.
Datum | 12.10.2004 |
|---|---|
| |
Betrifft | Windows XP, Windows XP mit SP1, Windows XP 64-Bit-Edition mit SP1, Windows XP 64-Bit-Edition Version 2003, Windows Server 2003, Windows Server 2003 64-Bit-Edition |
Wirkung | Remote-Codeausführung |
Patch | |
Abhilfe | Patch installieren |
Infos |
Wichtiges Sicherheits-Update für Windows
Dieses Sicherheits-Update behebt vier Schwachstellen in Windows. Über diese Lücken können externe Angreifer im schlimmsten Fall die vollständige Kontrolle über das attackierte System erlangen, einen DoS herbeiführen oder ihre Rechte ausweiten.
1. Ein lokaler Benutzer kann über einen Fehler in der API zur Verwaltung von Fenstern eine lokale Rechteausweitung erreichen. Das liegt daran, dass einige Funktionen der API es ermöglichen, die Eigenschaften von Programmen zu ändern, obwohl diese mit höheren Rechten laufen.
2. Die für virtuelle DOS-Maschinen zuständige Komponente lässt sich nutzen, um Zugriff auf geschützten Kernel-Speicher zu erhalten. In bestimmten Szenarien validieren einige privilegierte Funktionen Systemstrukturen nicht ausreichend, so dass ein lokaler Angreifer ein speziell erstelltes Programm mit Systemrechten laufen lassen kann.
3. Ein ungeprüfter Puffer bei der Verarbeitung von WMF- und EMF-Dateien kann zur Ausführung beliebigen Codes missbraucht werden. Dazu muss der Angreifer das Opfer dazu bringen, ein speziell vorbereitetes WMF-/EMF-Bild zu öffnen. Dieses kann beispielsweise auch in einer HTML-E-Mail eingebunden sein.
4. Eine nicht näher spezifizierte Lücke im Windows-Kernel lässt sich von einem lokalen Anwender dazu nutzen, einen Denial of Service zu erzeugen. Er muss lediglich ein spezielles Programm starten, woraufhin Windows nicht mehr auf Anfragen reagiert und automatisch neu startet.
Abhilfe schafft hier die Installation des Updates, die Microsoft dringend empfiehlt.
Datum | 12.10.2004 |
|---|---|
| |
Betrifft | Windows 98, Windows 98 SE, Windows, ME, Windows NT Server 4.0 SP6a, Windows NT Server 4.0 Terminal Server Edition SP6, Windows 2000 SP3 und SP4, Windows XP, Windows XP SP 1, Windows XP 64-Bit-Edition SP1, Windows XP 64-Bit-Edition Version 2003, Windows Server 2003, Windows Server 2003 64-Bit-Edition |
Wirkung | Remote-Codeausführung, DoS, Rechteausweitung |
Patch | |
Abhilfe | Patch installieren |
Infos |
Kritischer Pufferüberlauf bei JPEG-Verarbeitung (GDI+)
Es wird wohl kaum ein System geben, auf dem nicht ein Bildbearbeitungs- oder Bildbetrachtungsprogramm installiert ist. Deshalb dürfte das vor kurzem entdeckte Sicherheitsleck, das bei der Verarbeitung von speziell manipulierten JPEG-Bildern auftritt, zahlreiche Benutzer betreffen. Über diese Lücke können externe Angreifer einen Buffer Overrun (Pufferüberlauf) auf dem betroffenen System herbeiführen. Ist ein Benutzer mit Administratorrechten angemeldet, dann könnten externe Angreifer im schlimmsten Fall die vollständige Kontrolle über das System übernehmen.
Von dieser Sicherheitslücke sind neben den hier genannten Betriebssystem-Versionen auch zahlreiche andere Programme oder Komponenten betroffen. Eine ausführliche Aufstellung aller betroffenen Pakete beziehungsweise Komponenten finden Sie in dem unten genannten Microsoft-Technet-Artikel. Grundsätzlich empfiehlt es sich, Versionen der Datei Gdiplus.dll, die älter als Version 5.1.3102.1355 sind, zu aktualisieren.
Außerdem hat Microsoft ein GDI+-Detection-Tool entwickelt. Das Programm überprüft Ihr System auf Produkte, die nicht Bestandteil des Betriebssystems sind und von denen bekannt ist, dass sie die anfällige Komponente enthalten. Nähere Angaben darüber finden Sie in diesem Microsoft-Knowledgebase-Artikel.
Datum | 14.09.2004 / Update 12.10.2004 |
|---|---|
| |
Betrifft | Windows XP, Windows XP SP1, Windows XP 64-Bit-Edition SP1, Windows XP 64-Bit-Edition Version 2003, Windows Server 2003, Windows Server 2003 64-Bit-Edition |
Wirkung | Remote-Codeausführung |
Patch | |
Abhilfe | Patch installieren |
Infos |
Pufferüberlauf im Jet-Datenbankmodul
Beim Microsoft-Datenbankmodul Jet besteht die Gefahr, dass Programmcode von externen Standorten ausgeführt werden kann. Verantwortlich dafür ist ein ungeprüfter Puffer, der zum Überlauf gebracht werden kann (Buffer Overrun). Wird das erreicht, kann der Angreifer beliebige Aktionen ausführen.
Betroffen sind alle Windows-Versionen, die mit dem Microsoft Jet-Datenbankmodul Version 4.0 arbeiten. Das von Microsoft bereitgestellte Sicherheits-Update aktualisiert (nur auf nicht englischsprachigen Systemen) zwei Dateien: "mswstr10.dll" und "msjint40.dll". Möglicherweise werden auch andere Dateien mit neuen Informationen zu Datum und Uhrzeit angezeigt. Diese Dateien bleiben jedoch unverändert.
Microsoft empfiehlt, das Sicherheits-Update so schnell wie möglich zu installieren.
Datum | 13.04.2004 / Update 11.05.2004 |
|---|---|
| |
Betrifft | Windows NT Workstation und Server 4.0 SP6a, Windows 2000 SP4, Windows XP SP1, Windows XP 64-Bit Edition SP1, Windows XP 64-Bit-Edition Version 2003, Windows Server 2003, Windows Server 2003 64-Bit Edition, Windows 98, Windows 98 Second Edition und Windows Millennium Edition |
Wirkung | Remote-Codeausführung |
Patch | |
Abhilfe | Update installieren |
Infos |
ATA- und ATAPI-Laufwerke arbeiten nur noch im PIO-Modus
Nachdem die Festplatte mehrmals in den Ruhezustand gewechselt ist, kann sich ihre Leistung erheblich verringern. Ein Blick in den Gerätemanager bestätigt dies. Als aktueller Übertragungsmodus wird lediglich der PIO-Modus angezeigt.
Die Ursache ist der IDE-/ATAPI-Treiber von Windows ("Atapi.sys"). Stellt der Treiber sechs Zeitüberschreitungs- oder CRC-Fehler fest, dann reduziert er die Übertragungsgeschwindigkeit. Diese wird zunächst vom leistungsfähigsten DMA-Modus (Direct Memory Access) auf den langsamsten DMA-Modus reduziert. Treten weiterhin Fehler auf, wird die Übertragungsgeschwindigkeit bis zum langsamsten PIO-Modus (Programmed Input Output) heruntergefahren.
Abhilfe schafft ein Update, das beim technischen Support von Microsoft erhältlich ist.
Datum | 09.10.2003/30.03.2004 |
|---|---|
| |
Betrifft | Windows XP Home Edition, XP Professional, XP 64-Bit Edition Version 2002, Windows 2000 S, P, Windows Server 2003 Web, Standard, Enterprise, 64-Bit Enterprise Edition |
Wirkung | Verringerte Übertragungsgeschwindigkeit |
Patch | Auf Anfrage beim Microsoft Support erhältlich |
Abhilfe | Update installieren |
Infos |
Kritischer Fehler in Visual Basic für Applikationen
Die Überprüfung spezieller Dokumenteigenschaften durch VBA (Visual Basic für Applikationen) weist eine Sicherheitslücke auf.
Wird ein Dokument von einer Anwendung geöffnet, die VBA unterstützt, überprüft die Host-Anwendung, ob VBA benötigt wird und geladen werden soll. Anschließend werden dann einige Dokumenteigenschaften übermittelt. Diese Daten werden jedoch nicht einwandfrei überprüft.
Über diese Lücke kann ein Angreifer einen Pufferüberlauf verursachen und anschließend Code seiner Wahl im Sicherheitskontext des angemeldeten Benutzers ausführen, indem er speziell aufgebaute Parameter an VBA in den Dokumenteigenschaften platziert.
Der Patch behebt den Fehler. Er stellt sicher, dass VBA beim Öffnen von Dokumenten die übergebenen Daten korrekt überprüft.
Microsoft empfiehlt allen Benutzern von MS-Office-Programmen oder von Anwendungen, die auf Microsoft Visual Basic für Applikationen basieren, umgehend die Installation des Patches.
Datum | 03.09.2003 |
|---|---|
| |
Betrifft | VBA 5.0, 6.0, 6.2, 6.3; Office- und VBA-Anwendungen |
Wirkung | Codeausführung |
Patch | |
Abhilfe | Patch installieren |
Infos |
Sicherheitslücke in DirectX
DirectX, Bestandteil aller modernen Windows-Versionen, ist von einer gravierenden Sicherheitslücke betroffen. Zwei Buffer Overruns in der DirectX-Komponente DirectShow erlauben es Angreifern, über manipulierte MIDI-Dateien beliebigen Code auf dem betroffenen Rechner auszuführen.
Datum | 23.07.2003 |
|---|---|
| |
Betrifft | Alle Windows-Varianten mit DirectX-Versionen von 5.2 bis 9.0a |
Wirkung | Ausführen beliebigen Codes |
Patch | |
Abhilfe | Patch installieren |
Informationen |