Patch Day Oktober 2005: Neun Updates

Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.

Ist der Patch Day im letzten Monat noch kurzfristig ausgefallen, so sind es diesen Monat neun Patches, drei davon als kritisch eingestuft. Die anderen sind mit wichtig und mittel gekennzeichnet. Wieder mit dabei ist der Internet Explorer.

Auch wenn Microsoft diesen Monat die schwere Lücke recht kurzfristig schließen konnte, gilt für den IE weiterhin:

• Surfen Sie nur mit einem eingeschränkten Account.

• Schalten Sie aktive Inhalte (Scripting und ActiveX) nur für absolut vertrauenswürdige Sites frei.

• Klicken Sie nicht auf jeden Link, insbesondere nicht auf Links aus dubiosen Quellen (etwa Spam-Mails).

• Besuchen Sie wichtige Sites wie Online-Banking oder Ähnliches nur über Bookmarks.

• Wenn Sie nicht unbedingt auf den Internet Explorer angewiesen sind, sollten Sie einen alternativen Browser in Erwägung ziehen.

MS05-044: FTP-Client speichert Daten am falschen Ort

Eine Lücke im FTP-Client von Windows lässt sich von einem Angreifer ausnutzen, um den tatsächlichen Speicherort einer heruntergeladenen Datei zu manipulieren. Die Datei wird also nicht dort gespeichert, wo der Benutzer es will, sondern an eine andere Stelle, die der Angreifer spezifiziert. Der Grund ist, dass der Client die vom Server gelieferten Dateienamen nicht ausreichend validiert.

Problematisch wird das beispielsweise dann, wenn der Angreifer eine ausführbare Datei im Autostart-Ordner des Opfers platziert. Der Angreifer muss dazu nur eine Datei mit einem speziellen Dateinamen auf einem FTP-Server ablegen und das Opfer dazu bringen, diese Datei herunterzuladen.

MS05-045: DoS über Netzwerkverbindungs-Manager

Mit einem speziell aufgebauten Paket an die Komponente zur Verwaltung von Netzwerk- und Remote-Zugriffs-Verbindungen lässt sich ein Pufferüberlauf erzeugen. Die Komponente reagiert dann nicht mehr und stürzt ab.

Unter Windows XP SP2 und Windows Server 2003 SP1 lässt sich diese Lücke nur lokal ausnutzen, unter XP SP1, Windows Server 2003 und Windows 2000 kann der Angreifer den Angriff zwar von einer entfernten Station ausführen, er benötigt aber gültige Login-Daten. In manchen Umgeubngen lässt sich der Gast-Account dafür missbrauchen.

MS05-046: Ausführen beliebigen Codes über Client Service für Netware

Ein ungeprüfter Puffer im Client Service für Netware lässt sich von einem Angreifer ausnutzen, um beliebigen Code auf dem System des Opfers auszuführen. Dazu muss er eine Reihe speziell aufgebauter Netzwerk-Pakete an ein betroffenes System schicken.

Windows XP Home ist nicht betroffen, da dort diese Komponente nicht vorhanden ist. Auf den anderen Systemen wird sie nicht automatisch nachinstalliert. Bei Windows Server 2003 SP1 muss der Angreifer über gültige Login-Daten verfügen, auf den anderen Systemen kann die Lücke auch von anonymen Benutzern ausgenutzt werden.

MS05-047: Lücke in Plug and Play erlaubt Code-Ausführung und Rechteausweitung

Wie bereits das im August veröffentlichte Bulletin MS05-039 adressiert auch dieses Bulletin eine Lücke im Plug and Play von Windows. Auch diese ermöglicht das Ausführen beliebigen Codes und eine lokalen Rechteausweitung.

Im Gegensatz zu MS05-039 muss der Angreifer allerdings am System angemeldet sein. Bei Windows XP SP2 kann nur ein mit Administrator-Rechten angemeldeter Benutzer diese Lücke von Remote ausnutzen.

MS05-048: Lücke in Collaboration Data Objects erlaubt Code-Ausführung

Ein ungeprüfter Puffer in den Collaboration Data Objects (CDO) ermöglicht es einem Angreifer, die vollständige Kontrolle über das System zu übernehmen. Dazu muss er eine speziell angefertigte Nachricht erstellen, die auf dem Zielsystem durch CDOSYS (cdosys.dll) oder CDOEX (cdoex.dll) verarbeitet wird. Im Normalfall wird diese Nachricht via SMTP übermittelt.

Die betroffenen DLLs werden über so genannte Event Sinks aufgerufen. Normalerweise benutzt das SMTP-Modul von IIS 5 oder Exchange 2000 diese Sinks nicht. Unter Windows Server 2003 wird IIS 6 nicht per Default installiert, und selbst dann ist SMTP zunächst abgeschaltet.

MS05-049: Code-Ausführung über Windows Shell

Drei Lücken in der Windows Shell erlauben die Ausführung beliebigen Codes. Die ersten beiden betreffen die Weise wie Windows Dateien mit der Endung .lnk verarbeitet. Kann der Angreifer einen Benutzer dazu bringen, eine speziell präparierte lnk-Datei zu öffnen, ist er in der Lage beliebigen Code auszuführen.

Die dritte Lücke besteht in der Web-View-Komponente, über die Datei- und Ordnerinformationen in einer Vorschau ausgegeben werden. Das Problem liegt in der Verarbeitung bestimmter HTML-Zeichen.

MS05-050: Code-Ausführung über DirectShow

Über einen ungeprüften Puffer in DirectShow kann ein Angreifer beliebigen Code auf dem System des Opfers mit dessen Benutzerrechten ausführen.

Der Angreifer müsste das Opfer dazu bringen, eine spezielle aufgebaute AVI-Datei zu öffnen. Entweder indem er die Datei per Email oder anderem Weg auf das System bringt, oder den Benutzer dazu bewegt, einen entsprechenden Link anzuklicken.

MS05-051: Code-Ausführung über MSDTC und COM+

Vier Lücken in MSDTC (Microsoft Distributed Transaction Coordinator) und COM+ erlauben einem Angreifer das Ausführen beliebigen Codes auf dem attackierten System oder über das Transaction Internet Protocol (TIP) einen DoS gegen die Verarbeitung von verteilten Transaktionen.

Die Lücken sind vor allem auf Systemen mit Windows 2000 als kritisch einzustufen, da nur dort die entsprechenden Komponenten per Default eingerichtet und gestartet sind. Auch Windows XP mit SP1 ist noch kritisch gefährdet, da sich dort eine Lücke von anonymen Benutzern ausnutzen lässt.

MS05-052: Kumulatives Sicherheits-Update für IE

Microsoft hat noch mehr COM-Objekte gefunden, die sich fälschlicherweise im Internet Explorer instantiieren lassen. Unter bestimmten Umständen kann das dazu führen, dass der Systemspeicher korrumpiert und in Folge dessen beliebiger Code ausgeführt wird.

Ein Angreifer muss das Opfer auf eine speziell präparierte Webseite locken, um die Lücke auszunutzen. Mit dem Update verhindert Microsoft, dass die COM-Objekte vom Internet Explorer angesprochen werden, indem es das so genannte Kill-Bit setzt.