You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1215

[MS/Windows] Schwachstellen in der Bildverarbeitung und im WordPerfect Converter, Exploits in Umlauf
(2004-09-16 10:12:14.694503+00) Druckversion

Quelle: http://www.microsoft.com/technet/security/bulletin/ms04-sep.mspx

Im Security Bulletin Summary für September 2004 wird eine Pufferüberlaufschwachstelle im WordPerfect5.x Converter sowie eine Pufferüberlaufschwachstelle im JPEG-Processing (GDI+) beschrieben. Entsprechende Bilder, die die Schwachstelle in der JPEG-Verarbeitung ausnutzen, sind bereits in Umlauf.

Betroffene Systeme

  1. CAN-2004-0200:
    Komponenten, die die verwundbare JPEG-Processing (GDI+) verwenden
    • Windows XP and Windows XP Service Pack 1
    • Windows XP 64-Bit Edition Service Pack 1
    • Windows XP 64-Bit Edition Version 2003
    • Windows Server 2003
    • Windows Server 2003 64-Bit Edition
    • Office 2003
    • Office XP Service Pack 3
    • Visio 2003 (alle Versionen)
    • Visio 2002 Service Pack 2 (alle Versionen)
    • Project 2003 (alle Versionen)
    • Project 2002 Service Pack 1 (alle Versionen)
    • Windows NT Workstation 4.0 Service Pack 6a
    • Windows NT Server 4.0 Service Pack 6a
    • Windows NT Server 4.0 Terminal Server Edition Service Pack 6
    • Windows 2000 Service Pack 2
    • Windows 2000 Service Pack 3
    • Windows 2000 Service Pack 4
    • The Microsoft .NET Framework, Version 1.0
    • The Microsoft .NET Framework, Version 1.1
    • Internet Explorer 6 Service Pack 1
    • Picture It! 2002 (alle Versionen)
    • Greetings 2002
    • Picture It! Version 7.0 (alle Versionen)
    • Digital Image Pro Version 7.0
    • Picture It! Version 9 (alle Versionen, sowie Picture It! Library)
    • Digital Image Pro Version 9
    • Digital Image Suite Version 9
    • Producer for Microsoft Office PowerPoint (alle Versionen)
    • Visual Studio 2003 .NET
    • Visual Basic .NET Standard 2003
    • Visual C# .NET Standard 2003
    • Visual C++ .NET Standard 2003
    • Visual J# .NET Standard 2003
    • Visual Studio 2002 .NET
    • Visual Basic .NET Standard 2002
    • Visual C# .NET Standard 2002
    • Visual C++ .NET Standard 2002
    • Microsoft .NET Framework, Version 1.0 SDK
    • Platform SDK Redistributable: GDI+

    Weitere Details insbesondere zu den Betriebssystemen
    • Microsoft Windows 98
    • Microsoft Windows 98 Second Edition (SE)
    • Microsoft Windows Millennium Edition (ME)
    sind im Microsoft Security Bulletin MS04-028 zu finden.

  2. CAN-2004-0573:
    Komponenten, die den betroffenen Konverter benutzen
    • Office 2003
    • Office XP Service Pack 3
    • Office 2000 Service Pack 3
    • Works Suite (alle Versionen)
    Weitere Details sind im Microsoft Security Bulletin MS04-027 zu finden.

Nicht betroffene Systeme

  1. CAN-2004-0200:
    • Microsoft Windows NT Server 4.0 Service Pack 6a
    • Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
    • Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 4
    • Microsoft Windows XP Service Pack 2
    • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), und Microsoft Windows Millennium Edition (Me)
    • Microsoft Office 2003 Service Pack 1
    • Microsoft Office 2000
    • Microsoft Visio 2003 Service Pack 1
    • Microsoft Visio 2000
    • Microsoft Project 2003 Service Pack 1
    • Microsoft Project 2000
    • Microsoft Digital Image Suite 10, Microsoft Digital Image Pro 10, Picture It! Premium 10
    • Microsoft .NET Framework Version 1.1 SDK
    • Microsoft Works (alle Versionen)
    • Internet Explorer 5.01 Service Pack 3 on Windows 2000 Service Pack 3
    • Internet Explorer 5.01 Service Pack 4 on Windows 2000 Service Pack 4
    • Internet Explorer 5.5 Service Pack 2 on Microsoft Windows Millennium Edition
    • Microsoft .NET Framework Version 1.0 Service Pack 3
    • Microsoft .NET Framework Version 1.1 Service Pack 1
    • Microsoft .NET Framework Version 1.1 Service Pack 1 für Windows Server 2003


  2. CAN-2004-0573:
    • Microsoft Office 2003 Service Pack 1

Feststellen der Verwundbarkeit

  1. CAN-2004-0200:
    Microsoft hat ein Werkzeug veröffentlicht, mit dem festgestellt werden kann, ob auf einem gegebenen System Software installiert ist, von der bekannt ist, daß sie die gegen diese Schwachstelle verwundbare JPEG-Processing (GDI+) enthält. Das Werkzeug ist im Microsoft Knowledge Base Article 873374 beschrieben und wird auch dort zum Download bereitgestellt.

Einfallstor

  1. CAN-2004-0200:
    Verarbeitung eines entsprechend präparierten JPEG-Bildes

  2. CAN-2004-0573:
    Konvertierung eines entsprechend präparierten WordPerfect-Dokumentes

Auswirkung

  1. CAN-2004-0200:
    Ausführung beliebigen Programmcodes mit den Privilegien des verarbeitenden Benutzers (remote user compromise)

  2. CAN-2004-0573:
    Ausführung beliebigen Programmcodes mit den Privilegein des konvertierenden Benutzers (remote user compromise)

Typ der Verwundbarkeit

  1. CAN-2004-0200:
    Pufferüberlaufschwachstelle (buffer overflow bug)

  2. CAN-2004-0573:
    Pufferüberlaufschwachstelle (buffer overflow bug)

Gefahrenpotential

  1. CAN-2004-0200:
    hoch,
    hier ist allerdings zu beachten, daß die Verarbeitung von JPEG-Bildern an sehr vielen Stellen erfolgt. Wenn beispielsweise ein Administrator mit einem verwundbaren Browser ein entsprechendes JPEG-Bild betrachtet, kann das zur Systemkompromitterung führen

  2. CAN-2004-0573:
    hoch

Beschreibung

  1. CAN-2004-0200:
    MS04-028 beschreibt eine Pufferüberlaufschwachstelle in den Routinen zur Verarbeitung von JPEG-Bildern (JPEG-Processing (GDI+)). Sie kann von einem Angreifer dazu ausgenutzt werden, auf dem beherbergenden Rechnersystem beliebigen Programmcode mit den Privilegien des verarbeitenden Benutzers auszuführen. Da diese Routinen praktisch in allen Komponenten eingesetzt werden, die JPEG-Bilder verarbeiten müssen, genügt es in der Praxis, wenn der Angreifer einen Benutzer dazu bringt, ein entsprechend präpariertes Bild zu betrachten oder sonstwie zu verarbeiten. Diese Schwachstelle wird von Microsoft als "kritisch" eingestuft.

  2. CAN-2004-0573:
    In MS04-027 wird eine Pufferüberlaufschwachstelle im Microsoft WordPerfect 5.x Converter beschrieben, die von einem Angreifer dazu ausgenutzt werden kann, beliebigen Programmcode mit den Privilegien des konvertierenden Benutzers auszuführen. Der Converter wird dazu eingesetzt, WordPerfect5.x-Dateien in Microsoft Word-Dateien umzuwandeln. Der Konverter ist in allen Microsoft Office-Versionen sowie dem Office Converter Pack enthalten. In der Praxis muß ein Angreifer einen Benutzer eines verwundbaren Systems dazu bewegen, eine entsprechende WordPerfect5.x-Datei zu konvertieren, um die Schwachstelle auszunutzen. Die Datei kann dabei auf beliebigem Wege zum Benutzer gelangen.

Gegenmaßnahmen

  1. CAN-2004-0200:
    Installation der im Microsoft Security Bulletin MS04-028 empfohlenen Security Updates

  2. CAN-2004-0573:
    Installation der im Microsoft Security Bulletin MS04-027 empfohlenen Security Updates

Vulnerability ID

  1. CAN-2004-0200 (JPEG-Processing (GDI+))
  2. CAN-2004-0573 (WordPerfect5.x Konverter)

Exploit Status

  1. CAN-2004-0200:
    Es sind bereits Bilder in Umlauf, die diese Schwachstelle erfolgreich ausnutzen.

Revisionen dieser Meldung

  • V1.0 (2004-09-16)
  • V1.1 'Feststellen der Verwundbarkeit' präzisiert (2004-09-17)
  • V1.2 'Exploit Status' angepasst (2004-09-20)

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.