Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Im November gab es lediglich ein Bulletin und diesen Monat ist es mit zwei Bulletins wieder vergleichsweise ruhig. Eines davon betrifft allerdings wieder einmal den Microsoft Internet Explorer.
Auch wenn Microsoft diesen Monat die schwere Lücke recht kurzfristig schließen konnte, gilt für den IE weiterhin:
Surfen Sie nur mit einem eingeschränkten Account.
Schalten Sie aktive Inhalte (Scripting und ActiveX) nur für absolut vertrauenswürdige Sites frei.
Klicken Sie nicht auf jeden Link, insbesondere nicht auf Links aus dubiosen Quellen (etwa Spam-Mails).
Besuchen Sie wichtige Sites wie Online-Banking oder Ähnliches nur über Bookmarks.
Wenn Sie nicht unbedingt auf den Internet Explorer angewiesen sind, sollten Sie einen alternativen Browser in Erwägung ziehen.
MS05-054: Vier Lücken im Internet Explorer
Gleich vier Lücken behebt das kumulative Update für den Internet Explorer. Drei dieser Lücken stuft Microsoft als kritisch ein.
Ein Fehler bei der Anzeige des Download-Dialogs lässt sich ausnutzen, um den Anwender so zu verwirren, dass er bestimmte Tasten drückt. Im Prinzip läuft das Ganze so ab, dass der Angreifer den Download einer ausführbaren Datei skript-gesteuert anstößt, aber gleichzeitig die Anzeige des entsprechenden Dialogs verzögert - beispielsweise durch ein einfaches Schleifenkonstrukt im Skript. Dann muss der Angreifer nur noch dafür sorgen, dass der Benutzer den Tastatur-Shortcut für „Öffnen“ (im Deutschen IE „f“) drückt. Danach endet die Schleife und die Tastatureingabe wird verarbeitet, die Datei also ausgeführt.
In der Zusammenarbeit mit einem authentifizierenden HTTPS-Proxy kann es zur Preisgabe von Informationen kommen. Hier können Angreifer im lokalen Netz unter speziellen Umständen trotz SSL-verschlüsselter Kommunikation den Datenverkehr mitlesen.
Wie quasi bei jedem Update für den IE finden sich auch bei diesem weitere ActiveX-Objekte, deren Kill-Bit nicht gesetzt ist. Diese lassen sich fälschlicherweise im Internet Explorer instantiieren. Unter bestimmten Umständen kann das dazu führen, dass der Systemspeicher korrumpiert und in Folge dessen beliebiger Code ausgeführt wird.
Ein Angreifer muss das Opfer auf eine speziell präparierte Webseite locken, um die Lücke auszunutzen. Mit dem Update verhindert Microsoft, dass die COM-Objekte vom Internet Explorer angesprochen werden, indem es das so genannte Kill-Bit setzt.
Wird im „onLoad“-Event einer Web-Seite die JavaScript-Funktion „window()“ aufgerufen oder anders auf ein Window-Objekt zugegriffen, führt das zum Überschreiben von Systemspeicher. Im günstigsten Fall stürzt der IE ab im schlimmsten kann ein Angreifer beliebigen Code ausführen, wie beispielsweise der Trojaner Win32/Delf.DH demonstriert.
Datum | 13.12.2005 |
|---|---|
Warnstufe | Kritisch |
Betrifft | Windows XP bis SP2, Windows Server 2003 SP1, Windows 2000 bis SP4, sowie die jeweiligen 64-Bit-Editionen |
Auswirkung | Ausführung beliebigen Codes, Preisgabe von Informationen |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE |
MS05-055: Lokale Rechteausweitung in Windows 2000
Bei der Verarbeitung von asynchronen Prozeduraufrufen (APC) im Kernel von Windows 2000 tritt ein Fehler auf, der es angemeldeten lokalen Benutzern erlaubt, Befehle mit vollen Rechten auszuführen.
Damit ist er beispielsweise in der Lage, neue Konten mit vollen Rechten anzulegen. Voraussetzung ist allerdings, dass der Angreifer sich lokal an der Maschine anmelden kann. Ein Ausnutzen von entfernten Rechnern aus ist nicht möglich.
Datum | 13.12.2005 |
|---|---|
Warnstufe | Wichtig |
Betrifft | Windows 2000 bis SP4 |
Auswirkung | Rechteausweitung |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE |
Update für MS05-050: Code-Ausführung in Direct Show
Microsoft hat für das im Oktober veröffentlichte Bulletin MS05-050 für einige Betriebssystem-Versionen erneut herausgegeben, da das Update unter Umständen Probleme mit der Versionierung von DirectX hatte. Fälschlicherweise wurde ein erfolgreiches Update gemeldet, obwohl nichts passiert war.
Nutzer von Windows 2000 Service Pack 4, Windows XP Service Pack 1 und Windows 2003 sollten aus diesem Grund die neue Version der Updates herunterladen.