Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Im Januar gab es drei Bulletins, dieser Monat gehört mit sieben Bulletins zu den stärkeren Tagen. Microsoft hält nur zwei dieser Lücken für kritisch, obwohl eine nur als wichtig gekennzeichnete Lücke die Ausführung beliebigen Codes in alternativen Browsern wie Firefox ermöglichen könnte.
Und wie beinahe jeden Monat, gibt es auch dieses Mal wieder ein Update für den Internet Explorer. Wenn Sie immer noch nicht auf den Browser verzichten können oder wollen:
-
Surfen Sie nur mit einem eingeschränkten Account.
-
Schalten Sie aktive Inhalte (Scripting und ActiveX) nur für absolut vertrauenswürdige Sites frei.
-
Klicken Sie nicht auf jeden Link, insbesondere nicht auf Links aus dubiosen Quellen (etwa Spam-Mails).
-
Besuchen Sie wichtige Sites wie Online-Banking oder Ähnliches nur über Bookmarks.
-
Wenn Sie nicht unbedingt auf den Internet Explorer angewiesen sind, sollten Sie einen alternativen Browser in Erwägung ziehen.
MS06-004: Update für IE 5.01 unter Windows 2000
Bei der Verarbeitung von WMF-Dateien (Windows Meta File) weist erhebliche Schwachstellen im Design auf. Zwar wird das Dateiformat für Grafiken so gut wie gar nicht mehr verwendet, es ist jedoch immer noch in Windows enthalten. Der Internet Explorer zeigt diese Dateien sogar automatisch an.
Diese Lücke ist laut Microsoft nicht mit den bereits des Öfteren im WMF-Format entdeckten Lücken identisch. Sie betrifft auch nur den älteren IE 5 unter Windows 2000. Sie lässt sich ausnutzen, um beliebigen Code auf dem System des Opfers auszuführen.
Datum |
14.02.2006 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
IE 5.01 unter Windows 2000 |
Auswirkung |
Ausführung beliebigen Codes |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS06-005: Code-Ausführung über Media Player
Der Windows Media Player ist zwar nicht per Default für die Anzeige von BMP-Dateien zuständig, aber dennoch lässt sich ein Fehler bei der Anzeige dieser Bilder zur Ausführung beliebigen Codes ausnutzen. Das ist beispielsweise der Fall, wenn das Opfer die Datei selbst über den Media Player öffnet, diese Datei in ein so genanntes Skin-File eingebettet ist oder der Angreifer ein speziell aufgebautes Windows-Media-Player-Dokument (.wmp) einbaut.
Über einen ungeprüften Puffer lässt sich dann ein Pufferüberlauf erzeugen, der wiederum zur Ausführung beliebigen Codes führen kann.
Datum |
12.02.2006 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
alle Windows-Versionen mit Media Player |
Auswirkung |
Ausführung beliebigen Codes |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS06-006: Code-Ausführung durch Media Player Plug-in
Über das Tag <EMBED>
und ein Plug-in für den Windows Media Player lässt er sich auch in anderen Browsern als dem Internet Explorer einbinden. Bei der Datenübergabe allerdings ermöglicht es ein ungeprüfter Puffer, einem Angreifer beliebigen Code auf dem System des Opfers auszuführen. Dazu muss der Angreifer den HTML-Code nur entsprechend konstruieren.
Microsoft selbst stuft den Fehler zwar nur mit „Wichtig“ ein, dieser Einschätzung können wir aufgrund der immer stärker wachsenden Verbreitung alternativer Browser wie Firefox jedoch nicht folgen.
Datum |
12.02.2006 |
---|---|
Warnstufe |
Wichtig (Kritisch) |
Betrifft |
Alternative Browser unter Windows |
Auswirkung |
Ausführung beliebigen Codes |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS06-007: DoS über TCP/IP
Über ein speziell formatiertes IGMP-Paket kann ein Angreifer dafür sorgen, dass das System des Opfers nicht mehr reagiert.
Diese Lücke lässt sich gegebenenfalls auch über das Internet ausnutzen, falls diese Pakete nicht an der Firewall gefiltert werden. Bei IGMP handelt es sich um ein Protokoll zur Verwaltung von Multicasts, diese finden allerdings derzeit keine große Anwendung.
Datum |
12.02.2006 |
---|---|
Warnstufe |
Wichtig |
Betrifft |
Windows XP und Server 2003 |
Auswirkung |
DoS |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS06-008: Code-Ausführung über Web Client Service
Über den Web Client Service können Anwendungen auf Dokumente im Internet zugreifen. Dieser nutzt dazu das WebDAV-Protokoll. Ein ungeprüfter Puffer ermöglicht es einem Angreifer, über einen Pufferüberlauf beliebigen Code auf dem angegriffenen System auszuführen. Dazu muss er jedoch eine gültige Login-Kennung für das System besitzen.
Datum |
12.02.2006 |
---|---|
Warnstufe |
Wichtig |
Betrifft |
Windows XP und Server 2003 |
Auswirkung |
Ausführung beliebigen Codes |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS06-009: Rechteausweitung über IME für koreanische Zeichen
Der so genannte Input Method Editor soll dem Anwender dabei helfen, komplexe Schriftzeichen über das normale Keyboard in Windows oder Office einzugeben. In der Version für koreanische Schriftzeichen ist es unter bestimmten Umständen möglich, dass der Benutzer auf Funktionen zugreifen kann, die unter dem Rechtekontext LocalSystem laufen. Diese sind dann beispielsweise auch während des Login-Prozesses verfügbar, also wenn der Benutzer noch nicht angemeldet ist.
Um die Lücke auszunutzen, muss der Angreifer Zugriff auf die Konsole haben.
Datum |
12.02.2006 |
---|---|
Warnstufe |
Wichtig |
Betrifft |
Windows XP und Server 2003, Office 2003 |
Auswirkung |
Rechteausweitung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS06-010: Preisgabe von Informationen über Powerpoint 2000
Über einen Fehler in Powerpoint 2000 kann ein Angreifer direkt auf Objekte im Ordner für temporäre Internet-Dateien zugreifen und somit nützliche Informationen für weitere Angriffsversuche gewinnen.
Der Angreifer muss dazu lediglich ein speziell präpariertes ppt-Dokument auf seiner Web-Seite hosten und das Opfer dazu bringen, diese Seite zu besuchen.
Als Workaround empfiehlt Microsoft, entweder den entsprechenden MIME-Eintrag für Powerpoint (application/vnd.ms-powerpoint) zu löschen oder Office und den Internet Explorer so zu konfigurieren, dass Office-Dokumente nur in ihrer nativen Applikation angezeigt werden anstatt im IE.
Datum |
12.02.2006 |
---|---|
Warnstufe |
Wichtig |
Betrifft |
Powerpoint 2000 |
Auswirkung |
Preisgabe von Informationen |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |