Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Der Januar lässt sich nur scheinbar ruhig an: Die kritische Lücke im TCP/IP-Stack aller Windows-Versionen inklusive Vista ließ sich ausnutzen, um beliebigen Code mit vollen Rechten auszuführen. Im Februar gibt es sage und schreibe elf Bulletins, die siebzehn Fehler beheben. Das ist zum Teil wohl den demnächst erscheinenden Servicepacks für diverse Produkte zuzurechnen.
Besonders betroffen ist Office, das für einige der Bulletins verantwortlich zeichnet. Wichtig sind aber vor allem die Lücken im IIS.
MS08-003: Denial of Service gegen das Active Directory
Eingehende LDAP-Anfragen werden vom ADS nicht ausreichend validiert. Mittels speziell aufgebauter LDAP-Anfragen kann ein Angreifer so dafür sorgen, dass der Dienst nicht mehr reagiert oder das System abstürzt.
Betroffen sind alle Systeme, die als Active Directory Server oder als ADAM-Server (Active Directory Application Mode – LDAP-Server, der im Usermode läuft) fungieren.
Datum |
12.02.2008 |
---|---|
Warnstufe |
Wichtig |
Betrifft |
Windows 2000, XP, Server 2003 |
Auswirkung |
DoS |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS08-004: DoS gegen Vista-TCP/IP-Stack
Der in Windows Vista implementierte TCP/IP-Stack verarbeitet unter Umständen Pakete nicht korrekt, die er von einem DHCP-Server bekommt. Die Folge ist ein Systemabsturz.
Um die Lücke auszunutzen, muss der Angreifer einen speziell präparierten DHCP-Server aufsetzen, der ein speziell präpariertes Paket an den Client schickt.
Datum |
12.02.2008 |
---|---|
Warnstufe |
Wichtig |
Betrifft |
Windows Vista |
Auswirkung |
Denial of Service |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS08-005: Rechteausweitung über IIS5, IIS6 und IIS7
Der Internet Information Server (IIS) lässt sich vom System über Veränderungen an Dateien in den Verzeichnissen FTPRoot, NNTPFile\Root und WWWRoot informieren. Laut Microsoft existiert in dieser Routine eine Lücke, die es einem Angreifer ermöglicht, Programme im Rechtekontext „Lokales System“ auszuführen.
Der Angreifer muss dazu eine Datei in einem der betroffenen Verzeichnisse erstellen oder verändern. Um das zu erreichen, muss er ein ASP-Skript auf den Server laden und ausführen. Dieses Skript benötigt Schreibzugriff auf einen der genannten Ordner.
Datum |
12.02.2008 |
---|---|
Warnstufe |
Wichtig |
Betrifft |
Windows 2000, XP, Server 2003, Vista |
Auswirkung |
Rechteausweitung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS08-006: Code-Ausführung über IIS5 und IIS6
Eine weitere Lücke im Internet Information Server (IIS) ermöglicht es einem Angreifer, Code mit den Rechten der Worker Process Identity (WPI) auszuführen. Diese läuft normalerweise im Rechtekontext „Netwerkdienst“.
Grund ist eine mangelhafte Validierung von Benutzereingaben an eine ASP-Seite. Ein Angreifer muss also lediglich speziell präparierte Daten an eine ASP-Seite senden, um die Lücke auszunutzen.
Datum |
12.02.2008 |
---|---|
Warnstufe |
Wichtig |
Betrifft |
Windows XP, Server 2003 |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS08-007: Code-Ausführung über WebDAV
Der WebDAV-Redirector (auch unter WebClient-Dienst bekannt) validiert WebDAV-Antworten vor der Verarbeitung nicht ausreichend, so dass ein Angreifer über diesen Weg die volle Kontrolle über das System übernehmen kann.
Mittels WebDAV (Web Distributed Authoring and Versioning) lassen sich Dateioperationen wie Kopieren, Löschen oder Verschieben über HTTP realisieren. Ein Angreifer muss nur dafür sorgen, dass sich das Opfer mit einem böswilligen WebDAV-Server verbindet und eine entsprechend präparierte Antwort an den Client schicken, um die Lücke auszunutzen.
Datum |
12.02.2008 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Windows XP, Server 2003, Vista |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS08-008: Code-Ausführung über OLE
Speziell präparierte Script-Anfragen an eine OLE-Komponente können zu einem Heap-Überlauf führen und in Folge zur Ausführung beliebigen Codes im Rechtekontext des gerade angemeldeten Benutzers.
Um die Lücke auszunutzen, muss der Angreifer das Opfer lediglich zu bringen, eine speziell präparierte Webseite zu besuchen.
Datum |
12.02.2008 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Windows 2000, XP, Server 2003, Vista, Office for Mac, Visual Basic 6.0 |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS08-009: Code-Ausführung über Microsoft Word
Beim Parsen von Word-Dokumenten verrechnet sich Word unter Umständen bei der Berechnung des benötigten Speichers. In Folge wird Systemspeicher überschrieben, was zur Ausführung beliebigen Codes mit den Rechten des gerade angemeldeten Benutzers führen kann.
Um die Lücke auszunutzen, muss der Angreifer das Opfer dazu bringen, ein speziell präpariertes Word-Dokument zu öffnen. Etwa durch Versenden als Email-Attachment oder durch Bereitstellung auf einer entsprechenden Website.
Datum |
12.02.2008 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Office 2000, Office XP, Office 2003 |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS08-010: Kumulatives Update für IE
Gleich vier Lücken behebt das kumulative Update für den Internet Explorer.
Die erste betrifft das Rendern von HTML. Hier bringen bestimmte Layout-Kombinationen den Renderer derart aus dem Tritt, dass er Speicher überschreibt. Die Folge ist die Ausführung beliebigen Codes mit den Rechten des gerade angemeldeten Benutzers.
Bei der Verarbeitung der Property-Methode kann es ebenfalls zu überschriebenem Speicher und damit der Ausführung von Code kommen.
Dasselbe kann bei der Validierung von Argumenten für die Verarbeitung von Bildern passieren. Schuld ist das ActiveX-Control dxtmsft.dll.
Und wieder mal ist bei einigen ActiveX-Komponenten aufgefallen, dass das Killbit nicht gesetzt ist, welches verhindert, dass diese Komponenten im Internet Explorer instantiiert werden.
In allen Fällen muss der Angreifer das Opfer dazu bringen, eine speziell präparierte Webseite zu besuchen. Und in allen Fällen wird der Code mit den Rechten des gerade angemeldeten Benutzers ausgeführt.
Datum |
12.02.2008 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
IE5, IE6 und IE7 |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS08-011: Codeausführung über Works-Konverter
Drei Lücken im Dateikonverter für Works-Dateien (.wps) machen dem Anwender das Leben schwer. Bei allen drei Lücken werden bestimmte Header mit Größeninformationen nicht ausreichend validiert. Dadurch wird gegebenenfalls Speicher überschrieben und beliebiger Code mit den Rechten des gerade angemeldeten Benutzers ausgeführt.
Der Angreifer muss das Opfer dazu bringen, eine speziell präparierte WPS-Datei zu öffnen, etwa indem er die Datei per Email schickt oder auf einer Webseite bereitstellt.
Datum |
12.02.2008 |
---|---|
Warnstufe |
Mittel |
Betrifft |
Office 2003, Works 8.0, Works Suite 2005 |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS08-012: Codeausführung über Office Publisher
Auch im Office Publisher prüfen die Programmierer die Kontrollstrukturen zu öffnender Dokumente nicht sorgfältig genug. In zwei Fällen kann dies zum Überschreiben von Systemspeicher und damit der Ausführung beliebigen Codes mit den Rechten des gerade angemeldeten Benutzers führen.
Hier gilt ebenfalls: Der Angreifer muss das Opfer dazu bewegen, eine speziell präparierte Publisher-Datei (.pub) zu öffnen.
Datum |
12.02.2008 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Office 2000, Office XP, Office 2003 |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS08-013: Codeausführung über eingebettete Office Objekte
In Office-Dokumente eingebettete Objekte können dazu führen, dass Speicher überschrieben und darüber beliebiger Code im Rechtekontext des gerade angemeldeten Benutzers ausgeführt wird.
Der Angreifer muss das Opfer dazu bewegen, eine speziell präparierte Office-Datei zu öffnen.
Datum |
12.02.2008 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Office 2000, Office XP, Office 2003, Office 2004 for Mac |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |