Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Ist der Patch Day im letzten Monat noch kurzfristig ausgefallen, so sind es diesen Monat neun Patches, drei davon als kritisch eingestuft. Die anderen sind mit wichtig und mittel gekennzeichnet. Wieder mit dabei ist der Internet Explorer.
Auch wenn Microsoft diesen Monat die schwere Lücke recht kurzfristig schließen konnte, gilt für den IE weiterhin:
Surfen Sie nur mit einem eingeschränkten Account.
Schalten Sie aktive Inhalte (Scripting und ActiveX) nur für absolut vertrauenswürdige Sites frei.
Klicken Sie nicht auf jeden Link, insbesondere nicht auf Links aus dubiosen Quellen (etwa Spam-Mails).
Besuchen Sie wichtige Sites wie Online-Banking oder Ähnliches nur über Bookmarks.
Wenn Sie nicht unbedingt auf den Internet Explorer angewiesen sind, sollten Sie einen alternativen Browser in Erwägung ziehen.
MS05-044: FTP-Client speichert Daten am falschen Ort
Eine Lücke im FTP-Client von Windows lässt sich von einem Angreifer ausnutzen, um den tatsächlichen Speicherort einer heruntergeladenen Datei zu manipulieren. Die Datei wird also nicht dort gespeichert, wo der Benutzer es will, sondern an eine andere Stelle, die der Angreifer spezifiziert. Der Grund ist, dass der Client die vom Server gelieferten Dateienamen nicht ausreichend validiert.
Problematisch wird das beispielsweise dann, wenn der Angreifer eine ausführbare Datei im Autostart-Ordner des Opfers platziert. Der Angreifer muss dazu nur eine Datei mit einem speziellen Dateinamen auf einem FTP-Server ablegen und das Opfer dazu bringen, diese Datei herunterzuladen.
Datum | 11.10.2005 |
---|---|
Warnstufe | Mittel |
Betrifft | Windows XP SP1, Windows Server 2003, Windows Server 2003 für Itanium, IE6 SP1 auf Windows 2000 SP4 |
Auswirkung | Speichern von Dateien an beliebigen Orten |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-045: DoS über Netzwerkverbindungs-Manager
Mit einem speziell aufgebauten Paket an die Komponente zur Verwaltung von Netzwerk- und Remote-Zugriffs-Verbindungen lässt sich ein Pufferüberlauf erzeugen. Die Komponente reagiert dann nicht mehr und stürzt ab.
Unter Windows XP SP2 und Windows Server 2003 SP1 lässt sich diese Lücke nur lokal ausnutzen, unter XP SP1, Windows Server 2003 und Windows 2000 kann der Angreifer den Angriff zwar von einer entfernten Station ausführen, er benötigt aber gültige Login-Daten. In manchen Umgeubngen lässt sich der Gast-Account dafür missbrauchen.
Datum | 11.10.2005 |
---|---|
Warnstufe | mittel |
Betrifft | Microsoft Windows ab 2000 |
Auswirkung | DoS |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-046: Ausführen beliebigen Codes über Client Service für Netware
Ein ungeprüfter Puffer im Client Service für Netware lässt sich von einem Angreifer ausnutzen, um beliebigen Code auf dem System des Opfers auszuführen. Dazu muss er eine Reihe speziell aufgebauter Netzwerk-Pakete an ein betroffenes System schicken.
Windows XP Home ist nicht betroffen, da dort diese Komponente nicht vorhanden ist. Auf den anderen Systemen wird sie nicht automatisch nachinstalliert. Bei Windows Server 2003 SP1 muss der Angreifer über gültige Login-Daten verfügen, auf den anderen Systemen kann die Lücke auch von anonymen Benutzern ausgenutzt werden.
Datum | 11.10.2005 |
---|---|
Warnstufe | wichtig |
Betrifft | 32-Bit-Versionen von Microsoft Windows ab 2000 |
Auswirkung | Ausführung beliebigen Codes |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-047: Lücke in Plug and Play erlaubt Code-Ausführung und Rechteausweitung
Wie bereits das im August veröffentlichte Bulletin MS05-039 adressiert auch dieses Bulletin eine Lücke im Plug and Play von Windows. Auch diese ermöglicht das Ausführen beliebigen Codes und eine lokalen Rechteausweitung.
Im Gegensatz zu MS05-039 muss der Angreifer allerdings am System angemeldet sein. Bei Windows XP SP2 kann nur ein mit Administrator-Rechten angemeldeter Benutzer diese Lücke von Remote ausnutzen.
Datum | 11.10.2005 |
---|---|
Warnstufe | wichtig |
Betrifft | Windows 2000 und Windows XP |
Auswirkung | Ausführung beliebigen Codes, Rechteausweitung |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-048: Lücke in Collaboration Data Objects erlaubt Code-Ausführung
Ein ungeprüfter Puffer in den Collaboration Data Objects (CDO) ermöglicht es einem Angreifer, die vollständige Kontrolle über das System zu übernehmen. Dazu muss er eine speziell angefertigte Nachricht erstellen, die auf dem Zielsystem durch CDOSYS (cdosys.dll) oder CDOEX (cdoex.dll) verarbeitet wird. Im Normalfall wird diese Nachricht via SMTP übermittelt.
Die betroffenen DLLs werden über so genannte Event Sinks aufgerufen. Normalerweise benutzt das SMTP-Modul von IIS 5 oder Exchange 2000 diese Sinks nicht. Unter Windows Server 2003 wird IIS 6 nicht per Default installiert, und selbst dann ist SMTP zunächst abgeschaltet.
Datum | 11.10.2005 |
---|---|
Warnstufe | wichtig |
Betrifft | Microsoft Windows ab Windows 2000, Exchange 2000 |
Auswirkung | Ausführung beliebigen Codes |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-049: Code-Ausführung über Windows Shell
Drei Lücken in der Windows Shell erlauben die Ausführung beliebigen Codes. Die ersten beiden betreffen die Weise wie Windows Dateien mit der Endung .lnk verarbeitet. Kann der Angreifer einen Benutzer dazu bringen, eine speziell präparierte lnk-Datei zu öffnen, ist er in der Lage beliebigen Code auszuführen.
Die dritte Lücke besteht in der Web-View-Komponente, über die Datei- und Ordnerinformationen in einer Vorschau ausgegeben werden. Das Problem liegt in der Verarbeitung bestimmter HTML-Zeichen.
Datum | 11.10.2005 |
---|---|
Warnstufe | wichtig |
Betrifft | Microsoft Windows ab Windows 2000 |
Auswirkung | Ausführung beliebigen Codes |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-050: Code-Ausführung über DirectShow
Über einen ungeprüften Puffer in DirectShow kann ein Angreifer beliebigen Code auf dem System des Opfers mit dessen Benutzerrechten ausführen.
Der Angreifer müsste das Opfer dazu bringen, eine spezielle aufgebaute AVI-Datei zu öffnen. Entweder indem er die Datei per Email oder anderem Weg auf das System bringt, oder den Benutzer dazu bewegt, einen entsprechenden Link anzuklicken.
Datum | 11.10.2005 |
---|---|
Warnstufe | kritisch |
Betrifft | Microsoft Windows ab Windows 2000 |
Auswirkung | Ausführung beliebigen Codes |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-051: Code-Ausführung über MSDTC und COM+
Vier Lücken in MSDTC (Microsoft Distributed Transaction Coordinator) und COM+ erlauben einem Angreifer das Ausführen beliebigen Codes auf dem attackierten System oder über das Transaction Internet Protocol (TIP) einen DoS gegen die Verarbeitung von verteilten Transaktionen.
Die Lücken sind vor allem auf Systemen mit Windows 2000 als kritisch einzustufen, da nur dort die entsprechenden Komponenten per Default eingerichtet und gestartet sind. Auch Windows XP mit SP1 ist noch kritisch gefährdet, da sich dort eine Lücke von anonymen Benutzern ausnutzen lässt.
Datum | 11.10.2005 |
---|---|
Warnstufe | mittel bis kritisch |
Betrifft | Microsoft Windows ab Windows 2000 |
Auswirkung | Ausführung beliebigen Codes |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-052: Kumulatives Sicherheits-Update für IE
Microsoft hat noch mehr COM-Objekte gefunden, die sich fälschlicherweise im Internet Explorer instantiieren lassen. Unter bestimmten Umständen kann das dazu führen, dass der Systemspeicher korrumpiert und in Folge dessen beliebiger Code ausgeführt wird.
Ein Angreifer muss das Opfer auf eine speziell präparierte Webseite locken, um die Lücke auszunutzen. Mit dem Update verhindert Microsoft, dass die COM-Objekte vom Internet Explorer angesprochen werden, indem es das so genannte Kill-Bit setzt.
Datum | 11.10.2005 |
---|---|
Warnstufe | kritisch |
Betrifft | Internet Explorer ab 5.01 |
Auswirkung | Ausführung beliebigen Codes |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |