Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Im Dezember gab es lediglich zwei Bulletins und diesen Monat ist es mit drei Bulletins wieder vergleichsweise ruhig. Eines davon musste Microsoft jedoch schon verfrüht veröffentlichen, da für die WMF-Lücke schon eine Vielzahl von Exploits kursierten.
Auch wenn Microsoft diesen Monat die schwere Lücke doch noch schließen konnte, gilt für den IE weiterhin:
-
Surfen Sie nur mit einem eingeschränkten Account.
-
Schalten Sie aktive Inhalte (Scripting und ActiveX) nur für absolut vertrauenswürdige Sites frei.
-
Klicken Sie nicht auf jeden Link, insbesondere nicht auf Links aus dubiosen Quellen (etwa Spam-Mails).
-
Besuchen Sie wichtige Sites wie Online-Banking oder Ähnliches nur über Bookmarks.
-
Wenn Sie nicht unbedingt auf den Internet Explorer angewiesen sind, sollten Sie einen alternativen Browser in Erwägung ziehen.
MS06-001: Ausführen beliebigen Codes über WMF
Bei der Verarbeitung von WMF-Dateien (Windows Meta File) weist erhebliche Schwachstellen im Design auf. Zwar wird das Dateiformat für Grafiken so gut wie gar nicht mehr verwendet, es ist jedoch immer noch in Windows enthalten. Der Internet Explorer zeigt diese Dateien sogar automatisch an.
Im Prinzip ist eine WMF-Datei nicht mehr als eine Folge von Deklarationen für den Aufruf von Windows-API-Funktionen. WMF-Dateien enthalten jedoch nicht nur Aufrufe von Zeichenroutinen, sondern sie können auch unter dem Benutzerkonto „System“ spezielle Kommandos ausführen. Diese Kommandos unterliegen keinen Einschränkungen. Mit Hilfe der Escape-Funktion SETABORTPROC lässt sich beispielsweise ein Druckauftrag abbrechen. Hoch kritisch wird die Schwachstelle dadurch, dass verschiedene Windows-Komponenten wie der Bild- und Faxbetrachter oder der Internet Explorer diese Befehle automatisch ausführen. Dazu genügt es bereits, eine Vorschau der Bilder zu generieren.
Diese Lücke lässt sich von entfernten Angreifern ausnutzen, um ein verwundbares System zu kompromittieren. Hervorgerufen wird dies durch einen Fehler bei der Behandlung von korrupten Windows-Metafile-Dateien („.wmf“). Gelingt es einem Angreifer, einen Benutzer auszutricksen und die präparierte Datei im „Windows Picture and Fax Viewer“ oder als Vorschau im Explorer ausführen zu lassen, kann dadurch beliebiger Code auf dem System ausgeführt werden. Es könnte sogar sein, dass diese Lücke automatisch genutzt wird, wenn ein Benutzer eine präparierte Webseite mit dem Internet Explorer besucht.
Auf Full-Disclosure sind allerdings inzwischen weitere Beispielbilder aufgetaucht, die auch ein gepatchtes System zumindest zum Absturz bringen. Dementsprechend empfiehlt es sich, die entsprechende DLL komplett zu deaktivieren:
regsvr32 -u %windir%\system32\shimgvw.dll
|
Datum |
05.01.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Alle Windows-Versionen |
|
Auswirkung |
Ausführung beliebigen Codes |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-002: Code-Ausführung durch eingebettete Web-Fonts
In Web-Seiten oder HTML-Emails lassen sich die zu verwendenden Schriftarten einbetten. Mittels einer speziell präparierten Schriftart-Datei kann ein Angreifer einen Pufferüberlauf erzwingen, der zur Ausführung beliebigen Codes mit den Rechten des aktuellen Benutzers führt.
Voraussetzung ist, dass der Benutzer eine entsprechend präparierte Web-Seite besucht oder eine Email mit Outlook (Express) in der HTML-Vorschau betrachtet. Nutzer von Windows 2003 Server sind in der Standard-Konfiguration nur per IE angreifbar, da Outlook Emails per Default nur als Textnachrichten anzeigt.
|
Datum |
10.01.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
alle Windows-Versionen |
|
Auswirkung |
Ausführung beliebigen Codes |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-003: Code-Ausführung in Direct Show
Über das proprietäre TNEF (Transport Neutral Encoding Format) tauschen Exchange-Server und Outlook-Clients Formatierungsinformationen von Emails aus. Darin sind alle Formatierungen des Email-Textes kodiert. Die eigentliche Email besteht somit aus zwei Teilen: Der Nachricht ohne Formatierungen und den im TNEF-Block (Nutzern andere Mailclients als winmail.dat sicherlich bekannt) gespeicherten Kodierungen.
Ein Fehler bei der Verarbeitung dieses TNEF-Blocks lässt sich von einem Angreifer ausnutzen, um einen Pufferüberlauf zu erzwingen. Dieser führt zum Absturz des Systems oder zur Ausführung beliebigen Codes. Der Angreifer muss dazu nur einen speziell aufgebauten TNEF-Block in eine Nachricht einschleusen und an das Opfer senden.
Betroffen sind zum einen Outlook-Clients und zum anderen Exchange-Server, denn letztere verarbeiten diese TNEF-Blöcke ebenfalls.
|
Datum |
10.01.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Outlook 2000, Outlook 2002, Outlook 2003, Exchange 5.0, Exchange 5.5, Exchange 2000 |
|
Auswirkung |
Ausführung beliebigen Codes |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |