Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Gab es im letzten Monat nur drei Bulletins, so sind es diesen Monat sechs, drei davon als kritisch eingestuft. Die anderen drei sind mit wichtig und mittel gekennzeichnet. Wieder mit dabei ist der Internet Explorer.
Auch wenn Microsoft diesen Monat die schwere Lücke recht kurzfristig schließen konnte, gilt für den IE weiterhin:
Surfen Sie nur mit einem eingeschränkten Account.
Schalten Sie aktive Inhalte (Scripting und ActiveX) nur für absolut vertrauenswürdige Sites frei.
Klicken Sie nicht auf jeden Link, insbesondere nicht auf Links aus dubiosen Quellen (etwa Spam-Mails).
Besuchen Sie wichtige Sites wie Online-Banking oder Ähnliches nur über Bookmarks.
Wenn Sie nicht unbedingt auf den Internet Explorer angewiesen sind, sollten Sie einen alternativen Browser in Erwägung ziehen.
MS05-038: Kumulatives Sicherheits-Update für IE
Nicht nur der in MS05-037 gemeldete Java-Profiler lässt sich fälschlicherweise im Internet Explorer instantiieren, sondern auch 39 weitere COM-Objekte. Unter bestimmten Umständen kann das dazu führen, dass der Systemspeicher korrumpiert und in Folge dessen beliebiger Code ausgeführt wird
Ein Angreifer muss das Opfer auf eine speziell präparierte Webseite locken, um die Lücke auszunutzen. Mit dem Update verhindert Microsoft, dass die COM-Objekte vom Internet Explorer angesprochen werden, indem es das so genannte Kill-Bit setzt.
Bei der Darstellung fehlerhafter JPEGs gerät der Internet Explorer ins Straucheln und es kommt zum Überschreiben von Speicherbereichen, wodurch sich möglicherweise beliebiger Code ausführen lässt. Der Angreifer muss das Opfer dazu lediglich auf eine Webseite mit einem speziell präparierten JPEG locken.
Eine weitere Lücke bei der Behandlung von Domänen-übergreifenden Webseiten im Zusammenhang mit WebDAV ermöglicht das Ausführen von Code im Kontext der Zone „lokales Intranet“.
In allen Fällen muss der Angreifer das Opfer lediglich dazu bringen, eine speziell präparierte Webseite zu besuchen. Die tatsächlichen Auswirkungen hängen davon ab, mit welchen Rechten der Benutzer eingeloggt ist.
Datum | 09.08.2005 |
|---|---|
Warnstufe | kritisch |
Betrifft | Internet Explorer ab Version 5.01 |
Auswirkung | Ausführung beliebigen Codes |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security |
MS05-039: Lücke in Plug and Play erlaubt Ausführen beliebigen Codes
Ein ungeprüfter Puffer im Plug-and-Play-Dienst ermöglicht das Ausführen beliebigen Codes sowie eine Rechteausweitung. Unter Windows 2000 lässt sich der Fehler sogar von anonymen entfernten Benutzern ausnutzen. Bei Windows XP SP1 muss der entfernte Angreifer authentifiziert sein und bei XP SP2 sowie Windows 2003 hat nur der Administrator das Recht, von Remote auf den Dienst zuzugreifen.
Ein lokaler Benutzer kann diese Lücke ausnutzen, indem er eine speziell präparierte Nachricht an den Dienst schickt. In Folge kann er beliebigen Code mit erweiterten Rechten ausführen.
Datum | 09.08.2005 |
|---|---|
Warnstufe | kritisch |
Betrifft | Microsoft Windows ab 2000 |
Auswirkung | Ausführung beliebigen Codes, Rechteausweitung |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-040: Lücke im TAPI-Dienst erlaubt Ausführen beliebigen Codes
Der Telefoniedienst stellt Unterstützung für TAPI (Telephony Application Programming Interface) bereit. TAPI ist für die Integration von Telekommunikation in das Betriebssystem zuständig. Im Prozess zur Überprüfung von Daten und Berechtigungen besteht die Möglichkeit, einen Pufferüberlauf zu erzeugen.
Am stärksten betroffen ist ein Windows 2000 Server, der als Telefonie-Server konfiguriert ist. Hier können anonyme Angreifer die Lücke auch von remote ausnutzen. Unter Windows Server 2003 ist der Zugriff auf den Dienst authentifizierten Benutzern vorbehalten. Bei Windows 2000 Professional und Windows XP lässt sich der Bug von lokalen Benutzern zur Rechteausweitung missbrauchen.
Datum | 09.08.2005 |
|---|---|
Warnstufe | wichtig |
Betrifft | Microsoft Windows |
Auswirkung | Ausführung beliebigen Codes |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-041: Denial of Service über RDP
Über eine speziell präparierte RDP-Nachricht kann ein Angreifer das System zum Absturz bringen. Schuld ist die Routine zur Überprüfung von Daten.
Betroffen sind die Terminal-Dienste von Windows 2000 und Windows Server 2003 sowie der Remote Desktop von Windows XP. Ebenfalls anfällig ist die Remoteunterstützungsanforderung von Windows XP und Server 2003 - hier ist RDP allerdings nur bis kurz nach Ablauf der Anforderung aktiviert. Der Media Center Extender schaltet RDP in Windows XP Media Center Edition 2005 ein und die Funktion „Remote-Webarbeitsplatz“ im Windows Small Business Server 2003.
Datum | 09.08.2005 |
|---|---|
Warnstufe | wichtig |
Betrifft | Microsoft Windows |
Auswirkung | Denial of Service |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-042: DoS, Preisgabe von Informationen und Spoofing über Kerberos
Über eine speziell gestaltete Nachricht an einen Windows-Domänencontroller kann ein Angreifer bewirken, dass der für die Authentifizierung von Benutzern in einer Active-Directory-Domäne zuständige Dienst nicht mehr reagiert und das System automatisch neu startet. Der Angreifer muss allerdings authentifiziert sein.
Zudem ist das PKINT-Protokoll, das zur anfänglichen Authentifizierung verwendet wird, anfällig für Man-in-the-Middle-Angriffe. Windows nutzt dieses Protokoll, wenn Smartcards für die interaktive Anmeldung verwendet werden. Ein Angreifer muss über gültige Anmeldeinformationen verfügen und in der Lage sein, sich in eine Sitzung zwischen einem Client und einem Domänencontroller einzuhängen, um diese Sicherheitsanfälligkeit ausnutzen zu können. Das Update muss auf Servern und Clients installiert werden.
Datum | 09.08.2005 |
|---|---|
Warnstufe | wichtig |
Betrifft | Microsoft Windows ab Windows 2000 |
Auswirkung | DoS, Preisgabe von Informationen und Spoofing |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-043: Code-Ausführung über Druckerwarteschlange
Ein ungeprüfter Puffer im Druckerwarteschlangendienst (Spoolsv.exe) lässt sich von einem Angreifer ausnutzen, um beliebigen Code auf dem betroffenen System auszuführen.
Wiederum sind die Auswirkungen auf die Betriebssystem-Varianten verschieden. Bei Windows 2000 und XP SP1 kann ein anonymer Benutzer die Lücke ausnutzen, um beliebigen Code auszuführen. Unter Windows XP Service Pack 2 und Windows Server 2003 ist die Lücke auf authentifizierte Benutzer beschränkt. Zudem würde ein Angriff lauf Microsoft höchstens zu einem DoS führen.
Datum | 09.08.2005 |
|---|---|
Warnstufe | kritisch |
Betrifft | Microsoft Windows 2000 SP4, XP SP2, Server 2003 |
Auswirkung | Ausführung beliebigen Codes |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
Bulletin-Updates
Zudem aktualisiert Microsoft zwei ältere Bulletins. Bei MS05-023 (Einstufung kritisch) vom April dieses Jahres kommt zu den betroffenen Produkten der Microsoft Word 2003 Viewer hinzu.
Das Bulletin MS05-032 (Einstufung mittel) vom Juni enthält jetzt eine revidierte Fassung für x64-basierte Systeme, Microsoft Windows Server 2003 für Itanium und Microsoft Windows Server 2003 mit SP1 für Itanium. (mha)