Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Im März gab es nur zwei Bulletins, dieser Monat gehört mit fünf Bulletins zu den durchschnittlichen Tagen. Microsoft hält drei dieser Lücken für kritisch.
Das Update für den Internet Explorer behebt gleich zehn Lücken, aber die Anzahl der nicht gestopften Löcher ist immer noch erheblich. Wenn Sie weiterhin nicht auf den Browser verzichten können oder wollen:
-
Surfen Sie nur mit einem eingeschränkten Account.
-
Schalten Sie aktive Inhalte (Scripting und ActiveX) nur für absolut vertrauenswürdige Sites frei.
-
Klicken Sie nicht auf jeden Link, insbesondere nicht auf Links aus dubiosen Quellen (etwa Spam-Mails).
-
Besuchen Sie wichtige Sites wie Online-Banking oder Ähnliches nur über Bookmarks.
-
Wenn Sie nicht unbedingt auf den Internet Explorer angewiesen sind, sollten Sie einen alternativen Browser in Erwägung ziehen.
MS06-013: Zehn Lücken im Internet Explorer
Neben den beschriebenen zehn Fehlerbehebungen bringt das Update noch eine wichtige „Neuerung“ mit. Aufgrund des verlorenen Patentstreits mit der Firma Eola, muss Microsoft das Verfahren ändern, mit dem ActiveX-Controls in Seiten eingebettet werden. Die Benutzerschnittstelle von Controls, die über die Tags APPLET, EMBED oder OBJECT auf Seiten geladen werden, muss erst vom Anwender aktiviert werden. Dies betrifft beispielsweise Videoplayer. Hier wird das Video zwar gezeigt, aber Funktionen wie Pause, Stop oder Spulen kann der Benutzer erst verwenden, wenn er das Control aktiviert hat - etwa durch Anklicken. Welche Controls betroffen sind, zeigt dieser Knowledgebase-Eintrag.
1. Ein Fehler im DHTML-Control führt dazu, dass bei bestimmten Aufrufen von Methoden in HTML-Objekten der Systemspeicher korrumpiert wird. Ein Angreifer könnte über diesen Weg beliebigen Code auf dem System des Opfers ausführen, indem er es auf eine speziell präparierte Seite lockt. Besonders betroffen ist laut Foren die Methode createTextRange().
2. Einem HTML-Objekt lassen sich so genannte Event-Handler zuordnen, die bei Auftreten des Events (etwa Mausklick oder Mouseover) ausgelöst werden. Sind einem Objekt mehrere Event-Handler zugeordnet, kann das zum Überschreiben von Systemspeicher führen. Ein Angreifer könnte über diesen Weg beliebigen Code auf dem System des Opfers ausführen, indem er es auf eine speziell präparierte Seite lockt.
3. Eine HTML-Applikation (.hta) lässt sich mit einigen Tricks so von einer Web-Seite starten, dass die normale Sicherheitsabfrage umgangen wird. Ein Angreifer könnte über diesen Weg beliebigen Code auf dem System des Opfers ausführen, indem er es auf eine speziell präparierte Seite lockt.
4. Beim Parsen von speziell aufgebautem, ungültigem HTML-Code, kann es zum Überschreiben von Systemspeicher kommen. Ein Angreifer könnte über diesen Weg beliebigen Code auf dem System des Opfers ausführen, indem er es auf eine speziell präparierte Seite lockt.
5. Wie quasi bei jedem Update für den IE finden sich auch bei diesem weitere ActiveX-Objekte, deren Kill-Bit nicht gesetzt ist. Diese lassen sich fälschlicherweise im Internet Explorer instantiieren. Unter bestimmten Umständen kann das dazu führen, dass der Systemspeicher korrumpiert und in Folge dessen beliebiger Code ausgeführt wird. Für weitere sieben Objekte wird mit diesem Update das Kill-Bit gesetzt.
6. HTML-Elemente mit einem speziell präparierten HTML-Tag können zum Überschreiben von Systemspeicher führen. Ein Angreifer könnte über diesen Weg beliebigen Code auf dem System des Opfers ausführen, indem er es auf eine speziell präparierte Seite lockt.
7. Beim Parsen von URLs mit Zeichen im DBCS (Double Byte Character Set) kann der IE unter Umständen Systemspeicher überschreiben. Ein Angreifer könnte über diesen Weg beliebigen Code auf dem System des Opfers ausführen, indem er es dazu bringt, auf eine speziell präparierte URL zu klicken.
8. Beim dynamischen Erzeugen von eingebetteten Objekten kann es passieren, dass eine Schnittstelle falsche Informationen an das Objekt zurückliefert, etwa über die Sicherheitszone. Damit läuft es unter Umständen in einem ungewollten Sicherheitskontext. Ein Angreifer könnte über diesen Weg beliebigen Code auf dem System des Opfers ausführen oder an sensitive Informationen gelangen, indem er es auf eine speziell präparierte Seite lockt.
9. Unter bestimmten Umständen kann es passieren, dass der Internet Explorer noch Skripte von einer vorher besuchten Site aufruft, obwohl der Benutzer längst zu einer anderen Site navigiert hat. Diese Skripte laufen dann im Sicherheitskontext der neuen Site. So kann ein Angreifer beispielsweise Cookies dieser Site auslesen.
10. Die Anzeige in der Adressleiste lässt sich so fälschen, dass bereits eine neue URL angezeigt wird, obwohl noch der Content von einer andere Seite angezeigt wird.
Datum |
12.04.2006 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Internet Explorer ab 5.0 auf allen Windows Versionen |
Auswirkung |
Code-Ausführung, Rechteausweitung, Preisgabe von Informationen |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
CAN-2006-1359 , CAN-2006-1245 , CAN-2006-1388 , CAN-2006-1185 , CAN-2006-1186 , CAN-2006-1188 , CAN-2006-1189 , CAN-2006-1190 , CAN-2006-1191 , CAN-2006-1192 |
MS06-014: Kritischer Fehler in MDAC
Unter bestimmten Umständen stellt das ActiveX-Control RDS.Dataspace nicht ausreichend sicher, dass es in einer sicheren Art und Weise mit dem Host agiert, wenn es auf einer Web-Seite eingebunden ist. Mittels einer speziell präparierten Web-Seite kann ein Angreifer mit den Rechten des Anwenders beliebige Aktionen auf dem betroffenen System durchführen.
Datum |
12.04.2006 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Alle Windows Versionen |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS06-015: Lücke im Explorer erlaubt Code-Ausführung beim Surfen
Diese Lücke im Windows Explorer erlaubt es, dass der Explorer COM-Objekte instantiiert, über die dann beliebiger Code mit den Rechten des betroffenen Benutzers ausgeführt werden kann.
Die Lücke basiert darauf, dass ein Angreifer das Opfer auf eine speziell präparierte Web-Seite lockt. Diese leitet dann den Browser auf einen Dateiserver um, der wiederum den durch diesen Vorgang eingeschalteten Windows Explorer dazu bringt, ein präpariertes ActiveX-Control auszuführen. Nähere Details gibt Microsoft im Bulletin nicht bekannt.
Datum |
12.04.2006 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Alle Windows Versionen |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS06-016: Code-Ausführung in Outlook Express
Bei der Benutzung einer speziell präparierten Windows Adressbuch Datei (.wab) in Outlook Express kann es zu einem Pufferüberlauf kommen, in Folge dessen beliebiger Code mit den Rechten des gerade angemeldeten Benutzers ausgeführt wird.
Ein Angreifer muss zur Ausnutzung dieser Lücke eine entsprechend präparierte wab-Datei an das Opfer schicken und das Opfer dazu bringen, diese Datei mit Outlook Express zu öffnen.
Datum |
12.04.2006 |
---|---|
Warnstufe |
Wichtig |
Betrifft |
Outlook Express 5.5 und 6 |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS06-017: Cross-Site-Scripting in Frontpage Server Extensions
Bei der Validierung von Parametern gehen die Frontpage Server Extensions nicht sorgfältig genug vor. Dadurch kann es vorkommen, dass gefährliche Skripte im Sicherheitskontext des Benutzers ausgeführt werden.
Hat der angegriffene Benutzer auf dem Webserver administrative Rechte, kann der Angreifer die vollständige Kontrolle über den Webserver mit den Server Extensions erhalten.
Datum |
12.04.2006 |
---|---|
Warnstufe |
Mittel |
Betrifft |
Frontpage Server Extensions 2002 und Sharepoint Team Services |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |