Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Nach einem eher ruhigen Januar mit gerade mal drei Bulletins behebt Microsoft diesen Monat eine Reihe schwer wiegender Fehler. Betroffen sind OLE/COM, SMB, Office, SharePoint, der Internet Explorer und einige weitere Betriebssystemkomponenten. Die meisten Lücken erlauben das Ausführen beliebigen Codes. Als oberste Grundregel gilt also, niemals Dateien von Unbekannten entgegenzunehmen und zu öffnen.
Auch wenn das kumulative Sicherheits-Update einige Bugs im Internet Explorer behebt, gilt für den IE weiterhin:
Surfen Sie nur mit einem eingeschränkten Account.
Schalten Sie aktive Inhalte (Scripting und ActiveX) nur für absolut vertrauenswürdige Sites frei.
Klicken Sie nicht auf jeden Link, insbesondere nicht auf Links aus dubiosen Quellen (etwa Spam-Mails).
Besuchen Sie wichtige Sites wie Online-Banking oder Ähnliches nur über Bookmarks.
Wenn Sie nicht unbedingt auf den Internet Explorer angewiesen sind, sollten Sie einen alternativen Browser wie Firefox ernsthaft in Erwägung ziehen.
MS05-004: Lücke bei der Validierung von Pfaden bei ASP.Net
In ASP.Net existiert eine Lücke bei der Validierung von Pfadnamen. Bei Websites, die eine Autorisierung benötigen, führt dies eventuell dazu, dass ein Angreifer Login-Mechanismen umgehen und so an Informationen oder erweiterte Rechte gelangen kann. Dazu muss der Angreifer lediglich eine speziell aufgebaute URL an den Webserver schicken.
Für dieses Problem besteht schon seit Oktober 2004 ein Work-around, bei dem der Webserver die URLs vor der Weitergabe an ASP.Net säubert. Da dieser Work-around das eigentliche Problem nicht behebt, sollten Sie dennoch den bereitgestellten Patch installieren.
Datum | 08.02.2005 |
|---|---|
| |
Warnstufe | Wichtig |
Betrifft | .Net Framework 1.0, .Net Framework 1.1 |
Auswirkung | Informationspreisgabe, Rechteausweitung |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security |
MS05-005: Ausführung von Code in Office und Works
Werden in Microsoft Office XP oder in Works Dokumente direkt von einer URL geöffnet, kann ein ungeprüfter Puffer in der Routine zur Verarbeitung der URL bewirken, dass ein Angreifer beliebigen Code auf dem betroffenen Rechner ausführt. Der Angreifer muss das Opfer lediglich dazu bewegen, auf einen speziell vorbereiteten Link zu klicken, den er entweder auf einer Webseite hostet oder per Mail an das Opfer schickt.
Das Problem tritt nicht auf, wenn der Benutzer das Dokument zuvor auf seiner Festplatte speichert und dann öffnet.
Datum | 08.02.2005 |
|---|---|
| |
Warnstufe | Kritisch |
Betrifft | Office XP bis SP3, Project 2002, Visio 2002, Works Suite 2002, 2003 und 2004 |
Auswirkung | Ausführung beliebigen Codes |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-006: Cross-Site Scripting in SharePoint
Über eine Lücke in SharePoint kann ein Hacker Cross-Site-Scripting-Angriffe durchführen. Dadurch erhält er Zugriff auf Daten und Online-Anwendungen, auf die auch der angegriffene Benutzer zugreift. Zusätzlich ist es laut Microsoft möglich, den Cache des Webbrowsers oder zwischengeschalteter Proxy-Server zu manipulieren.
Das Risiko ist deutlicher geringer, wenn der SharePoint-Server nur SSL-Verbindungen zulässt, da Daten verschlüsselter Sitzungen normalerweise nicht im Webcache oder in Proxies gespeichert werden.
Es ist kein Work-around bekannt, darum sollte der Patch schnellstmöglich eingespielt werden.
Datum | 08.02.2005 |
|---|---|
| |
Warnstufe | Kritisch |
Betrifft | SharePoint Services für Windows Server 2003, SharePoint Team Services |
Auswirkung | |
Work-around | Keiner |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-007: Preisgabe von Informationen in Windows XP
Eine Lücke im Dienst "Computerbrowser" von Windows XP ermöglicht es einem Angreifer, über so genannte "Named Pipes" an die Benutzernamen von Usern zu gelangen, die mit einer Ressource auf dem betroffenen System verbunden sind. Über diese Informationen kann er dann mittels Brute-Force oder Social Engineering versuchen, das Passwort zu ermitteln.
Bis Service Pack 1 ist der Dienst per Default eingeschaltet, ab SP2 per Default aus. Neben einer Abschaltung des Dienstes empfiehlt es sich, Windows-Freigaben nicht über das Internet verfügbar zu machen. Die entsprechenden Ports sollten also per Desktop-Firewall oder Router geschlossen werden.
Datum | 08.02.2005 |
|---|---|
| |
Warnstufe | Wichtig |
Betrifft | Windows XP bis SP2 |
Auswirkung | Preisgabe von Informationen |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-008: Codeausführung durch Lücke in Windows-Shell
Ein Fehler in der Windows-Shell (shell32.dll) ermöglicht es einem Angreifer, beliebigen Code auf dem System des Opfers abzulegen, der dann beispielsweise über den Autostart-Ordner bei einem Neustart automatisch ausgeführt wird. Ausnutzen kann er die Lücke über eine speziell präparierte Website mit DHTML-Content, die den Fehler bei der Verarbeitung von DHTML-Drag&Drop-Events nutzt.
Microsoft beschreibt zwar diverse Work-arounds, wir empfehlen jedoch die sofortige Installation des Updates.
Datum | 08.02.2005 |
|---|---|
| |
Warnstufe | Kritisch |
Betrifft | Windows XP bis SP2, Windows XP 64-Bit, Windows 2000 bis SP4, Windows Server 2003 |
Auswirkung | Ausführung beliebigen Codes |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security |
MS05-009: Codeausführung durch PNG-Bilder
Ein ungeprüfter Puffer bei der Verarbeitung von PNG-Dateien im Windows Media Player lässt sich zur Ausführung beliebigen Codes ausnutzen. Dazu muss der Angreifer lediglich PNG-Bilder mir übergroßen Breiten- oder Höhenangaben in einer Media-Datei referenzieren.
Der Microsoft Messenger nutzt die freie Bibliothek libpng1.2.5, die mehrere Sicherheitslücken aufweist. Um eine dieser Lücken auszunutzen, muss der Angreifer dem Opfer ein speziell präpariertes Bild übertragen. Da der Messenger per Default Nachrichten nur von Kontakten aus dem eigenen Adressbuch annimmt, ist das Risiko hier nicht so groß.
Datum | 08.02.2005 |
|---|---|
| |
Warnstufe | Kritisch |
Betrifft | Windows Media Player 9, Microsoft Messenger 5, 6.1 und 6.2 |
Auswirkung | Ausführung beliebigen Codes |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security |
MS05-010: Codeausführung durch Fehler im License-Logging
Ein ungeprüfter Puffer im Dienst zur Protokollierung von Lizenzen ermöglicht es einem Angreifer, beliebigen Code auf dem betroffenen System auszuführen. Dazu muss er lediglich ein speziell präpariertes Netzwerkpaket an den Server schicken.
Der Dienst läuft nur auf Servern, die mit dem CAL-Lizenzmodell (Client Access License) betrieben werden. Bei Windows Server 2003 ist laut Microsoft das wahrscheinlichste Ergebnis ein Denial-of-Service, der sich durch einen Neustart des Dienstes beheben lässt. Unter NT und 2000 kann der Angreifer allerdings Daten einsehen, ändern oder löschen, Programme installieren oder neue Benutzer mit vollen Rechten anlegen.
Datum | 08.02.2005 |
|---|---|
| |
Warnstufe | Kritisch |
Betrifft | Windows NT Server bis SP6a, Windows 2000 Server bis SP4, Windows Server 2003 |
Auswirkung | Ausführung beliebigen Codes |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-011: Codeausführung durch Fehler in SMB
Ein Fehler bei der Validierung eingehender SMB-Pakete führt dazu, dass ein Angreifer beliebigen Code ausführen und die komplette Kontrolle über ein betroffenes System übernehmen kann. Ein direkter Angriff auf das System ist nur über ein lokales Subnetz möglich, da der Angriff eine Reihe von Broadcast-Paketen voraussetzt.
Auf Stationen, die keine Freigaben anbieten, sollten eingehende SMB-Pakete per Desktop-Firewall geblockt werden.
Datum | 08.02.2005 |
|---|---|
| |
Warnstufe | Kritisch |
Betrifft | Windows 2000 bis SP4, Windows Server 2003, Windows XP bis SP2, Windows XP 64-Bit |
Auswirkung | Ausführung beliebigen Codes |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-012: Codeausführung durch Fehler in OLE/COM
Zwei Lücken in COM ermöglichen auf praktisch jedem System die Ausführung beliebigen Codes oder eine Rechteausweitung, da COM ein zentraler Bestandteil von Windows und vielen Microsoft-Anwendungen ist.
Die erste betrifft den so genannten "COM Structured Storage". Dabei handelt es sich im Prinzip um ein Filesystem innerhalb einer Datei. Microsoft nutzt dieses, um verschiedene Objekttypen innerhalb eines Dokuments unterbringen zu können. Ein am System angemeldeter Angreifer kann durch Ausführung einer speziell erstellten Anwendung seine Rechte ausweiten und beliebige Aktionen auf dem System ausführen.
Die zweite Lücke lässt sich auch von einem entfernten System ausnutzen. Sie betrifft die Art und Weise, wie OLE Eingaben validiert. Auf Exchange-Systemen reicht es, wenn der Angreifer eine speziell kodierte Nachricht an einen Benutzer schickt. Ansonsten muss das Opfer dazu gebracht werden, ein speziell präpariertes Dokument mit eingebetteten OLE-Objekten zu öffnen.
Ein erfolgreicher Angriff ermöglicht es dem Hacker, Code und Programme mit den Rechten des betroffenen Benutzers auszuführen. Eingeschränkte Benutzer-Accounts sind hier also eine sicherere Umgebung.
Datum | 08.02.2005 |
|---|---|
| |
Warnstufe | Kritisch |
Betrifft | Windows 2000 bis SP4, Windows Server 2003, Windows XP bis SP2, Windows XP 64-Bit, Microsoft Exchange 5.0 bis SP2, Exchange 5.5 bis SP4, 2000 bis SP3 und 2003 bis SP1, Office XP bis SP3, 2003 bis SP1 |
Auswirkung | Ausführung beliebigen Codes, Rechteausweitung |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-013: Codeausführung durch Fehler in DHTML-Editing
Das DHTML-Editing-ActiveX weist einen erheblichen Fehler auf, der es einem Angreifer ermöglicht, an sensitive Informationen zu gelangen oder beliebigen Code mit den Rechten des betroffenen Benutzers auf dem System auszuführen. Der Grund dafür ist ein Fehler bei der Validierung bestimmter Aktionen durch das Zonenmodell des Internet Explorers.
Für einen erfolgreichen Angriff muss der Hacker das Opfer auf eine speziell präparierte Website locken oder ihn dazu bringen, eine HTML-Mail anzuschauen. In der Folge kann der Angreifer auf Informationen anderer Webseiten zurückgreifen, lokale Dateien einsehen oder Scripts im Sicherheitskontext der Zone "Lokaler Arbeitsplatz" ausführen.
Datum | 08.02.2005 |
|---|---|
| |
Warnstufe | Kritisch |
Betrifft | Windows 2000 bis SP4, Windows Server 2003, Windows XP bis SP2, Windows XP 64-Bit |
Auswirkung | Ausführung beliebigen Codes |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-014: Kumulatives Update für den Internet Explorer
Vier teilweise kritische Lücken behebt dieses kumulative Update für den Internet Explorer. Die erste ist identisch mit der Drag&Drop-Lücke aus MS05-008. Ein Fehler bei der Dekodierung von kodierten URLs führt dazu, dass ein Angreifer beliebigen Code auf dem System ausführen und möglicherweise auch Cross-Site Scripting und Spoofing der in der Adressleiste angezeigten URL betreiben kann.
Ein nicht ausreichend geprüfter Puffer bei der Validierung von DHTML-Methoden lässt sich über eine speziell präparierte HTML-Seite ausnutzen, um beliebigen Code auf dem System des Opfers auszuführen.
Die letzte Lücke betrifft das Channel Definition Format (CDF). Ein Fehler beim Validieren bestimmter URLs in CDF-Dateien führt dazu, dass die Zonenzuordnung nicht korrekt erfolgt. Somit kann ein Angreifer Scripts mit den Rechten einer anderen Zone ausführen.
Datum | 08.02.2005 |
|---|---|
| |
Warnstufe | Kritisch |
Betrifft | Windows 2000 bis SP4, Windows Server 2003, Windows XP bis SP2, Windows XP 64-Bit |
Auswirkung | Ausführung beliebigen Codes |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-015: Fehler in der Hyperlink-Objekt-Bibliothek
Ein ungeprüfter Puffer in der Bibliothek zur Verarbeitung von Hyperlinks führt dazu, dass ein Angreifer beliebigen Code auf dem System des Opfers ausführen kann. Dazu muss er das Opfer nur dazu bewegen, eine speziell aufgebaute URL anzuklicken.
Datum | 08.02.2005 |
|---|---|
| |
Warnstufe | Kritisch |
Betrifft | Windows 2000 bis SP4, Windows Server 2003, Windows XP bis SP2, Windows XP 64-Bit |
Auswirkung | Ausführung beliebigen Codes |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
Update für MS04-035: Fehler in SMTP
Zusätzlich hat Microsoft ein Update für das Bulletin MS04-035 veröffentlicht, da eine Variation der Lücke auch den Exchange Server 2000 betrifft.
Ein ungeprüfter Puffer bei der Verarbeitung von DNS-Abfragen ermöglicht einem Angreifer das Ausführen beliebigen Codes auf dem Server. Dazu muss er den Server nur dazu bringen, die Antworten auf bestimmte DNS-Anfragen abzuarbeiten.
Auf Windows Server 2003 und Windows XP 64-Bit wird der SMTP-Dienst per Default nicht installiert.
Datum | 12.10.2004 |
|---|---|
| |
Warnstufe | Kritisch |
Betrifft | Windows XP 64-Bit Edition 2003, Windows Server 2003, Exchange Server 2003, Exchange Server 2000 |
Auswirkung | Ausführung beliebigen Codes |
Work-around | Siehe Security-Bulletin |
Updates | Siehe Security-Bulletin |
CVE |