Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Im Juli gab es sieben Bulletins, diesen Monat sind es wie im Juni wieder zwölf Bulletins. Diese betreffen 23 Lücken. Microsoft hält 19 dieser Lücken für kritisch.
Der Internet Explorer zeichnet für acht dieser Lücken verantwortlich. Wenn Sie weiterhin nicht auf den Browser verzichten können oder wollen:
-
Surfen Sie nur mit einem eingeschränkten Account.
-
Schalten Sie aktive Inhalte (Scripting und ActiveX) nur für absolut vertrauenswürdige Sites frei.
-
Klicken Sie nicht auf jeden Link, insbesondere nicht auf Links aus dubiosen Quellen (etwa Spam-Mails).
-
Besuchen Sie wichtige Sites wie Online-Banking oder Ähnliches nur über Bookmarks.
-
Wenn Sie nicht unbedingt auf den Internet Explorer angewiesen sind, sollten Sie einen alternativen Browser in Erwägung ziehen.
MS06-040: Lücke im Server-Dienst erlaubt Code-Ausführung
Ein ungeprüfter Puffer im Server-Dienst, ermöglicht es Angreifern, beliebigen Code mit vollen Benutzerrechten auszuführen. Den Pufferüberlauf kann er provozieren, indem er ein speziell gestaltetes Paket an den Dienst schickt. Dazu muss der Angreifer nicht am System angemeldet sein.
|
Datum |
09.08.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Windows 2000 SP4, XP SP2, Server 2003 SP1 |
|
Auswirkung |
Ausführen beliebigen Codes mit vollen Rechten |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-041: Code-Ausführung bei DNS-Auflösung
Ungeprüfte Puffer in der Winsock-API und dem DNS-Client ermöglichen die Ausführung beliebigen Codes mit vollen Benutzerrechten.
Um die Lücke in der Winsock-API auszunutzen, muss der Angreifer das Opfer dazu bringen, eine speziell präparierte Datei zu öffnen oder eine entsprechend vorbereitete Webseite zu besuchen. Bei Anwendungen, die auf die Winsock-API zugreifen, kann die Lücke laut Microsoft unter Umständen auch bei der normalen Benutzung auftreten, ohne dass der User eine Aktion tätigen muss.
Etwas komplizierter wird es für den Angreifer, wenn er die Lücke im DNS-Client ausnutzen will. Dazu muss er sich entweder irgendwo zwischen Client und regulärem DNS-Server befinden oder den Client dazu bringen, an einen böswilligen DNS-Server eine Anfrage zu schicken. Als Antwort schickt er dann eine speziell präparierte DNS-Nachricht an den Rechner, die den Pufferüberlauf auslöst.
|
Datum |
09.08.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Windows 2000 SP4, XP SP2, Server 2003 SP1 |
|
Auswirkung |
Ausführen beliebigen Codes mit vollen Rechten |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-042: Acht Lücken im Internet Explorer
Gleich acht Lücken im Internet Explorer behebt dieses Update. Je nach Version des IE sind zwischen einer und fünf davon kritisch:
1. Bei der Behandlung von Umleitungen zwischen Domains kann ein Angreifer gegebenenfalls Daten aus einer anderen Domain oder Sicherheitszone des IE auslesen. Der Fehler tritt laut Microsoft auf, wenn die Site gzip-Kompression verwendet. Ein Angreifer muss das Opfer dazu auf eine speziell präparierte Website locken.
2. und 3. Fehler bei der Verarbeitung von Layout-Positionierungen lassen sich ausnutzen, den Systemspeicher zu korrumpieren und beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen. Der Angreifer muss das Opfer nur dazu bringen, eine speziell präparierte HTML-Seite anzuschauen, im Browser oder in Outlook.
4. Ein Fehler bei der Verarbeitung von verknüpften CSS-Dateien lässt sich ausnutzen, den Systemspeicher zu korrumpieren und beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen. Der Angreifer muss das Opfer nur dazu bringen, eine speziell präparierte HTML-Seite anzuschauen.
5. Wie quasi bei jedem Update für den IE finden sich auch bei diesem weitere ActiveX-Objekte, deren Kill-Bit nicht gesetzt ist. Diese lassen sich fälschlicherweise im Internet Explorer instantiieren. Unter bestimmten Umständen kann das dazu führen, dass der Systemspeicher korrumpiert und in Folge dessen beliebiger Code ausgeführt wird. Sage und schreibe 41 weitere Klassen werden mit diesem Update angepasst.
6. Bei der Verarbeitung von Skripten kann es unter bestimmten Umständen vorkommen, dass das Zonenmodell des IE nicht greift, so dass das Skript im Sicherheitskontext einer anderen Zone läuft. Ein Angreifer kann das ausnutzen, Daten anderer Domains auszulesen. Unter Windows 2000 SP4 und Windows XP SP1 kann es sogar zur Ausführung beliebigen Codes kommen.
7. Es ist möglich ein Skript so zu gestalten, dass es auch aktiv bleibt, wenn der Benutzer von der Seite wegnavigiert. Damit kann der Angreifer Informationen darüber erlangen, auf welche anderen Seiten ein Benutzer surft. Um die Lücke auszunutzen, muss der Angreifer das Opfer dazu bringen, eine speziell präparierte HTML-Seite anzuschauen.
8. Wenn ein FTP-Link (ftp://ftp.domain.tldomain) Zeilensprünge enthält, sendet der IE die Zeichenketten zwischen den Zeilensprüngen als Befehle an den FTP-Server.
|
Datum |
09.08.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Windows XP, 2000 und 2003, IE 5.01, IE 6 |
|
Auswirkung |
Code-Ausführung, Ausspähung sensitiver Daten, Rechteausweitung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
CVE-2006-3280 , CVE-2006-3450 , CVE-2006-3451 , CVE-2006-3637 , CVE-2006-3638 , CVE-2006-3639 , CVE-2006-3640 , CVE-2004-1166 , |
MS06-043: Code-Ausführung beim MHTML-Parsen
Ein Fehler beim Parsen von MHTML-Dokumenten ermöglicht es Angreifern, beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen. MHTML-Dokumente sind spezielle Dokumente mit eingebetteten Objekten wie beispielsweise Bildern. Diese Bilder werden also nicht separat nachgeladen, sondern im Dokument gespeichert. Die MHTML-Komponente extrahiert die Objekte und lässt den Inhalt dann vom regulären HTML-Renderer verarbeiten.
Der Angreifer muss das Opfer nur dazu bewegen, eine speziell präparierte Website oder Email zu betrachten.
|
Datum |
09.08.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Windows XP und 2003, Outlook Express 6 |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-044: Windows-2000-MMC angreifbar von Web-Seiten
Resource-Dateien mit HTML-Code in der MMC-Bibliothek lassen sich über den Internet Explorer von Windows 2000 direkt aus dem Internet referenzieren, so dass beliebiger Code ausgeführt werden kann. Ist der IE 6 installiert, betrifft das nur Seiten aus der Intranet-Zone, weil für Sites aus der Internet-Zone der Zugriff auf lokale Dateien per Default gesperrt ist.
Im Fall von IE5 muss der Angreifer das Opfer lediglich auf eine speziell präparierte Seite locken, beim IE6 muss er sich lokal an das System anmelden und Programme ausführen können.
|
Datum |
09.08.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Windows 2000 |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-045: Code-Ausführung über Windows Explorer
Bei der Verarbeitung von Drag&Drop-Events tritt im Windows Explorer ein Fehler auf, der die Ausführung beliebigen Codes mit den Rechten des angemeldeten Benutzers ermöglicht.
Dazu muss der Angreifer das Opfer dazu bringen, eine speziell präparierte HTA-Datei zu speichern und beispielsweise per Drag&Drop zu verschieben.
|
Datum |
09.08.2006 |
|---|---|
|
Warnstufe |
Wichtig |
|
Betrifft |
Windows 2000, XP und Server 2003 |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-046: Code-Ausführung durch HTML-Hilfe
Ein Fehler im ActiveX-Control für die HTML-Hifefunktion ermöglicht es einem Angreifer beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen. Ursache ist ein nicht ausreichend geprüfter String-Buffer.
Der Angreifer muss das Opfer dazu lediglich auf eine speziell präparierte Webseite locken.
|
Datum |
09.08.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Windows 2000, XP und Server 2003 |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-047: Code-Ausführung durch VBA in Office
Ein Fehler bei der Verarbeitung von Dokument-Eigenschaften durch Visual Basic for Applications lässt sich von einem Angreifer ausnutzen, beliebigen Code auszuführen. Grund ist ein ungeprüfter Puffer vor der Übergabe an VBA.
Der Angreifer muss das Opfer lediglich dazu bewegen, ein speziell präpariertes Dokument in einer Applikation zu öffnen, die VBA unterstützt - beispielsweise ein Excel-Spreadsheet, eine Word-Datei oder eine Powerpoint-Präsentation. Kommt Word als Email-Editor für Outlook zum Einsatz, lässt sich die Lücke auch via Email ausnutzen. Hier tritt sie zutage, wenn das Opfer die Email beantwortet oder weiterleitet.
|
Datum |
09.08.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Office 2000 und XP, Project 2000 und 2002, Access 2000, Visio 2002, Works 2004, 2005 und 2006, VBA-SDK 6.0, 6.2, 6.3 und 6.4 |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-048: Code-Ausführung durch Powerpoint
Ein Fehler bei der Verarbeitung von ungültigen Shape-Containern oder Einträgen kann zur Ausführung beliebigen Codes mit den Rechten des angemeldeten Benutzers führen. Der Angreifer muss das Opfer nur dazu bewegen, eine speziell präparierte Powerpoint-Präsentation zu öffnen.
Wer nur den Powerpoint-Viewer 2003 benutzt, etwa um die immer wieder kursierenden Spaß-Powerpoints anzuschauen, ist nicht in Gefahr.
|
Datum |
09.08.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Powerpoint 2000, 2002 und 2003, Powerpoint 2004 und 2004 v. X für Mac |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-049: Rechte-Ausweitung über Windows 2000 Kernel
Ein ungeprüfter Puffer im Kernel von Windows 2000 ermöglicht es einem lokalen Angreifer, sich Systemrechte zu verschaffen. Dazu muss er lokalen Zugriff auf die Station haben und Programme ausführen können.
|
Datum |
09.08.2006 |
|---|---|
|
Warnstufe |
Wichtig |
|
Betrifft |
Windows 2000 |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-050: Code-Ausführung über Hyperlinks
Ein ungeprüfter Puffer in der Objekt-COM-Bibliothek für Hyperlinks lässt sich von einem Angreifer dazu ausnutzen, beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen. Der Angreifer muss das Opfer dazu bewegen, einen speziell präparierten Link in einer Email oder einem Office-Dokument anzuklicken.
|
Datum |
09.08.2006 |
|---|---|
|
Warnstufe |
Wichtig |
|
Betrifft |
Windows 2000, XP und Server 2003 |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-051: Code-Ausführung über Windows Kernel
Ein Fehler bei der Verarbeitung von Ausnahmezuständen in speicherresidenten Programmen lässt sich von einem Angreifer ausnutzen, beliebigen Code mit vollen Rechten auszuführen. Laut Bulletin lässt sich diese Lücke auch über das Internet ausnutzen, indem der Angreifer das Opfer auf eine speziell präparierte Webseite lockt.
Zudem behebt das Bulletin einen Fehler unter Windows 2000, bei dem sich ein lokaler Angreifer erweiterte Rechte verschaffen kann.
|
Datum |
09.08.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Windows 2000, XP und Server 2003 |
|
Auswirkung |
Rechteausweitung und Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |