Patch Day Januar 2005: Schwere Lücke in HTML-Hilfe

Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch diesen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.

Nach einem aufregenden Dezember, in dem Microsoft sechs Bulletins herausbrachte und teilweise schwere Lücken im Internet Explorer behob, beginnt das neue Jahr etwas ruhiger. Fehler bei der Verarbeitung von Hilfedateien im HTML-Format und beim Anzeigen von Icon- und Cursor-Dateien ermöglichen das Ausführen beliebigen Codes. Oberste Grundregel ist also, niemals derartige Dateien von Unbekannten entgegenzunehmen und zu öffnen.

Die erste Lücke wird - in Kombination mit anderen Fehlern des Internet Explorer - beispielsweise vom Trojaner Phel ausgenutzt. Da die anderen Fehler noch nicht behoben sind, gilt für den IE weiterhin:

• Surfen Sie nur mit einem eingeschränkten Account.

• Schalten Sie aktive Inhalte (Scripting und ActiveX) nur für absolut vertrauenswürdige Sites frei.

• Klicken Sie nicht auf jeden Link, insbesondere nicht auf Links aus dubiosen Quellen (etwa Spam-Mails).

• Besuchen Sie wichtige Sites wie Online-Banking oder Ähnliche nur über Bookmarks.

MS05-001: Lücke in HTML-Help erlaubt Ausführung von Code

Das HTML Help ActiveX Control (hhctrl.ocx) weist einen Fehler auf, durch den ein Angreifer über Sicherheitszonen hinweg Code ausführen kann. Normalerweise sollten verschiedene Sicherheitszonen voneinander abgeschottet sein.

Um die Lücke auszunutzen, muss der Angreifer lediglich eine spezielle Webseite erstellen und das Opfer dorthin locken. Dann kann er auf dem System mit den Zugriffsrechten des Opfers beliebige Dateien installieren und ausführen.

Um zu verhindern, dass die Lücke per HTML-Mail und Outlook ausgenutzt wird, sollten Sie alle relevanten Sicherheits-Updates für Outlook/Outlook Express installieren. Diese sorgen dafür, dass HTML-Mails nur in der eingeschränkten Zone geöffnet werden.

MS05-002: Lücke bei Verarbeitung von Cursor- und Icon-Dateien

Dieses Bulletin beschreibt zwei Fehler. Der Erste resultiert aus einer nicht ausreichenden Überprüfung der Größenangaben von Icon- und Cursor-Dateien, bevor diese dargestellt werden. Über diesen Weg kann ein Angreifer mittels speziell manipulierter Dateien beliebigen Code auf dem Rechner des Opfers ausführen. Da auch Webseiten mit eigenem Icon (zum Beispiel für Favoriten) oder Cursor ausgestattet sein können, ermöglicht diese Lücke auch den Angriff über speziell manipulierte Webseiten.

Der zweite Fehler - ebenfalls bei der Verarbeitung von Icon- und Cursor-Dateien - lässt sich für einen Denial of Service im Kernel ausnutzen.

MS05-003: Lücke im Index-Dienst

Ein Fehler bei der Verarbeitung von Suchanfragen an den Index-Dienst lässt sich von einem Angreifer mittels einer speziell konstruierten Anfrage ausnutzen, um einen Denial of Service hervorzurufen oder beliebigen Code auszuführen. Letzteres ist laut Microsoft allerdings sehr unwahrscheinlich.

IIS-basierte Websites können gegebenenfalls auf den Index-Dienst des Servers zugreifen. Dies ist allerdings nur der Fall, wenn der Webmaster entsprechende Schnittstellen und Abfrageseiten erstellt hat.