Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste kritischer Bugs samt zugehörigen Fixes. Durch diesen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Am aktuellen Patch Day, dem 14. September, hat Microsoft mit dem Eingeständnis einer extrem kritischen Lücke aufgewartet: Eine mit Windows XP und Server 2003 sowie einer Vielzahl von Anwendungen ausgelieferte GDI-Komponente ermöglicht den externen Systemzugriff über das bloße Betrachten von Bildern im JPEG-Format. Betroffen ist praktisch jeder Anwender, der den Internet Explorer 6 installiert hat.
Nicht ganz so gravierend, jedoch ebenfalls kritisch, fällt eine Lücke im Konverter für WordPerfect-5-Dokumente aus, den die Office-Anwendungen mitbringen. Auch hier kann der Angreifer vollen Systemzugriff erlangen.
MS04-027 - Systemzugriff über WordPerfect-5.x-Konverter
Das im Microsoft Security Bulletin MS04-027 beschriebene Update beseitigt eine von Microsoft als hoch gefährlich eingestufte Sicherheitslücke, über die externe Angreifer das System kompromittieren können. Betroffen sind alle Systeme, auf denen Microsoft Office 2000/XP/2003 oder auch nur deren Komponenten Word, Frontpage oder Publisher installiert wurden. Die Works Suite in den Versionen 2001, 2002, 2003 und 2004 enthält die verwundbaren Komponenten ebenfalls. Sie sind zudem im Office Converter Pack enthalten, mit dem sich Office-Versionen vor 2000 nachrüsten lassen.
Ursache des Problems ist ein Begrenzungsfehler im Konverter für WordPerfect-5-x-Dokumente, über den der Angreifer einen Pufferüberlauf verursachen kann. Dies ermöglicht, beliebigen Code im Sicherheitskontext des attackierten Benutzers auszuführen. Ist dieser mit Administratorrechten angemeldet, kann der Angreifer auf diesem Weg vollen Systemzugriff erlangen.
Eine erfolgreiche Attacke setzt voraus, dass der Angreifer das Opfer zum Öffnen eines präparierten WordPerfect-Dokuments verleiten kann. Den wahrscheinlichsten Angriffsvektor stellen E-Mails mit entsprechendem Anhang dar. Auch eine Infektion über einen Link auf Websites wäre denkbar, wobei dann allerdings mehrere Sicherheitsabfragen zu passieren wären.
Als mögliche Problemumgehung nennt Microsoft das Deinstallieren des WordPerfect-5.x-Konverters. Links zu den Updates für Microsoft Office 2000/XP/2003 sowie den diversen Works-Suite-Versionen finden Sie im Microsoft-Advisory.
Datum | 14.09.2004 |
|---|---|
| |
Warnstufe | hoch |
Betrifft | Microsoft Office 2000 / XP / 2003, Microsoft Works Suite 2001 / 2002 / 2003 / 2004, Microsoft Word 2000 / 2002 / 2003, Microsoft Frontpage 2000 / 2002 / 2003, Microsoft Publisher 2000 / 2002 / 2003 |
Auswirkung | Systemzugriff von extern |
Work-around | Deinstallieren Sie den WordPerfect-5.x-Konverter. |
Updates | |
CVE |
MS04-028 - Systemzugriff über JPEG-Bilder
Eine hoch kritische Sicherheitslücke in der JPEG-Parsing-Komponente gdiplus.dll beschreibt das Microsoft Security Bulletin MS04-027. Der vorstehende Link auf die US-Version des Bulletins ist kein Flüchtigkeitsfehler, das Dokument liegt am Morgen nach dem Patch Day tatsächlich noch nicht in Deutsch vor. Angesichts der Schwere des Fehlers stellt dies eine geradezu unglaubliche Unterlassung dar, handelt es sich jedoch bei der zu Grunde liegenden Lücke um nicht weniger als eine automatische Systeminfektion über das verbreitetste Bildformat - JPEG!
Zur Kompromittierung des Systems genügt das bloße Betrachten eines entsprechend präparierten Bildes in einer E-Mail, auf einer Website oder in einem sonstigen Dokument mit einer der betroffenen Anwendungen. Auf Grund deren Vielzahl dürfte jedoch praktisch jeder Windows-XP- und Windows-Server-2003-Nutzer betroffen sein. Auch wer auf älteren Windows-Varianten den Internet Explorer 6 installiert hat, ist verwundbar. Einziger Lichtblick: Ein installierter Windows XP Service Pack 2 schützt vor Attacken, sofern nach der SP-Installation nicht noch eine der betroffenen Anwendungen (Office, Visio, Project) oder eine Third-Party-Applikation mit der verwundbaren Komponente GDI+ (etwa bei Nutzung des .NET-Frameworks) nachinstalliert wurde.
Ursache des Problems ist ein Begrenzungsfehler in gdiplus.dll, der dem Angreifer das Auslösen eines Pufferüberlaufs auf dem Stack ermöglicht. Eine erfolgreiche Attacke verschafft dem Angreifer in jedem Fall vollen Systemzugriff im Sicherheitskontext des Opfers. Für Benutzer, deren Konten mit niedrigeren Systemrechten konfiguriert sind, besteht also ein geringeres Risiko als für User, die mit Administrator-Berechtigung arbeiten.
MS04-028 - Betroffene Anwendungen
Immanent verwundbar für die Sicherheitslücke sind folgende Betriebssysteme und Anwendungen:
Windows XP (auch mit Service Pack 1)
Windows XP 64-Bit Edition (auch mit Service Pack 1)
Windows Server 2003 (auch mit 64-Bit Edition)
Internet Explorer 6 (auch mit Service Pack 1)
Office XP (auch mit Service Pack 3)
Office 2003 (ohne Service Pack 1)
Outlook 2002 / 2003
Word 2002 / 2003
Excel 2002 / 2003
PowerPoint 2002 / 2003
FrontPage 2002 / 2003
Publisher 2002 / 2003
InfoPath 2003
OneNote 2003
Project 2002 (auch mit Service Pack 1)
Project 2003 (alle Versionen)
Visio 2002 (auch mit Service Pack 2)
Visio 2003 (alle Versionen)
Visual Studio .NET 2002 / 2003
Visual Basic .NET Standard 2002 / 2003
Visual C# .NET Standard 2002 / 2003
Visual C++ .NET Standard 2002 / 2003
Visual J# .NET Standard 2003
Microsoft .NET Framework 1.0 / 1.0 SDK / 1.1 SDK (1.0 auch mit Service Pack 2)
Picture It! 7.0 / 9 / 2002
Greetings 2002
Digital Image Pro 7.0 / Pro 9 / Suite 9
Producer for Microsoft Office PowerPoint
Microsoft Platform SDK Redistributable: GDI+
Nicht betroffen sind unter anderem Windows 9x/Me, NT, 2000 und Windows XP mit Service Pack 2 sowie die IE-Versionen 5.01 und 5.5. Dies gilt jedoch nur, wenn keine der oben genannten Anwendungen installiert wurde. Genauere Angaben finden Sie im Microsoft-Bulletin.
MS04-028 - Test-Tool, Updates
Angesichts der Vielzahl der betroffenen Anwendungen sowie der Möglichkeit, dass auch die Software von Drittanbietern die betroffenen Komponenten eingespielt hat, fällt es sehr schwer, die Verwundbarkeit eines Systems abzuschätzen. Hilfe bietet hier das Microsoft GDI+ Detection Tool, das die Anwesenheit der betroffenen Komponente auf dem Rechner ermittelt.
Auf Grund der Vielzahl der verwundbaren Anwendungen existieren keine auch nur halbwegs nützlichen Work-arounds für die Lücken. Daher ist ein sofortiges Update nicht nur dringend zu empfehlen, sondern praktisch unumgänglich. Die entsprechende Patch-Matrix finden Sie im Security Bulletin.
Datum | 14.09.2004 |
|---|---|
| |
Warnstufe | hoch kritisch |
Betrifft | Windows XP, Windows Server 2003, Internet Explorer 6 SP1, zahlreiche Anwendungen (siehe MS Security Bulletin MS04-028) |
Auswirkung | Systemzugriff von extern |
Work-around | |
Updates | |
CVE |
Trustworthy Computing?
Trotz des jüngsten, umfassenden kumulativen Updates für den Internet Explorer und der neuen Sicherheits-Features im Windows XP Service Pack 2 werden Microsofts Betriebssysteme und Anwendungen nach wie vor dem Anspruch des "Trustworthy Computing" in keiner Weise gerecht.
Was vor zehn Jahren noch als Aprilscherz durchs Usenet ging - der "JPEG-Virus" - macht Microsoft heute möglich. So kann man Fortschritt natürlich auch definieren. Das Vertrauen der Anwender in ihre Software stärkt es allerdings nicht gerade. Dies gilt insbesondere für den ebenfalls betroffenen Internet Explorer 6. Microsofts Standard-Browser kann man inzwischen bestenfalls noch im Intranet halbwegs sorglos benutzen, für alle anderen Zwecke setzt man besser auf Alternativen wie Opera oder Mozilla (oder dessen Abkömmlinge).
Nach wie vor sollten Sie nicht nur beim Surfen im Netz der Netze, sondern speziell auch bei der E-Mail-Nutzung Vorsicht walten lassen. Dies gilt vor allem in Hinsicht auf jegliche Links von und zu nicht absolut vertrauenswürdigen Websites sowie auf jegliche Anhänge obskurer E-Mails. Auch bei der elektronischen Post erweist sich übrigens die Verwendung von Open-Source-Alternativen zu Outlook zunehmend als der sicherere Weg.
Insofern fördert Microsoft in gewissem Sinne tatsächlich ein Trustworthy Computing: Die chronischen und oft extrem kritischen Löcher der Redmonder Applikationen bewegen immer mehr Anwender zum Umstieg auf Alternativen aus dem Bereich der freien Software. Auch dort gibt es Sicherheitslücken, doch sie werden sofort publiziert, umfassend dokumentiert und innerhalb von Stunden oder spätestens Tagen gefixt. Das schafft deutlich mehr Vertrauen, als einmal im Monat wenig präzise "Ach, übrigens ..."-Bulletins zu veröffentlichen.
Tagesaktuelle Informationen zur Bedrohungslage bieten Ihnen unsere tecCHANNEL Security Reports, die Sie auf Wunsch auch kostenlos per E-Mail erhalten. (jlu)