Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1489

[MS/Windows] Microsoft stellt Patches für insgesamt vier Schwachstellen bereit
(2008-11-12 00:36:04.901306+00)

Quelle: http://www.microsoft.com/technet/security/bulletin/ms08-nov.mspx

Im Rahmen seines Security Bulletin Summary for November 2008 stellt Microsoft Patches für insgesamt vier Schwachstellen bereit, die z.T. zur Ausführung beliebigen Programmcodes auf dem beherbergenden System ausgenutzt werden können. Die Schwachstellen betreffen die Microsoft XML Core Services sowie die SMB-Implementierungen der verschiedenen Windows Betriebssysteme.

Inhalt

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor

Angriffsvoraussetzung

Angriffsvektorklasse

Auswirkung

Typ der Verwundbarkeit

Gefahrenpotential


(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

  • CVE-2007-0099:
    Eine Pufferüberlaufschwachstelle in den Microsoft XML Core Services der verschiedenen Windows-Betriebssysteme kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Benutzers einer Applikation, die die Services zur Verarbeitung von XML-Code verwendet, auf dem beherbergenden System auszuführen. Die Schwachstelle tritt auf, wenn eine Applikation die Services aufruft um XML oder verwandte Daten zu verarbeiten, z.B. wenn ein Benutzer mittels eines Browsers der die Services verwendet, eine entsprechende Webseite betrachtet.

    Um diese Schwachstelle erfolgreich auszunutzen, muss ein Angreifer einen Benutzer eines betroffenen Systems dazu veranlassen entsprechende Daten mit einer entsprechenden Applikation zu verarbeiten. Diese können ihm beispielsweise über eine präparierte Webseite oder E-Mail-Nachricht zugeleitet werden.

  • CVE-2008-4029:
    Eine cross site scripting Schwachstelle in den Routinen zur Verarbeitung von Document Type Definitions der Microsoft XML Core Services kann von einem Angreifer dazu ausgenutzt werden, Daten anderer Seiten auszulesen, die mittels des Internet Explorers auf dem betroffenen System besucht wurden.

    Um diese Schwachstelle erfolgreich auszunutzen, muss ein Angreifer einen Benutzer eines betroffenen Systems dazu veranlassen entsprechende Daten mit einer entsprechenden Applikation zu verarbeiten. Diese können ihm beispielsweise über eine präparierte Webseite oder E-Mail-Nachricht zugeleitet werden.

  • CVE-2008-4033:
    Eine cross site scripting Schwachstelle in den Routinen zur Verarbeitung von Document Type Definitions der Microsoft XML Core Services kann von einem Angreifer dazu ausgenutzt werden, Daten anderer Seiten auszulesen, die mittels des Internet Explorers auf dem betroffenen System besucht wurden.

    Um diese Schwachstelle erfolgreich auszunutzen, muss ein Angreifer einen Benutzer eines betroffenen Systems dazu veranlassen entsprechende Daten mit einer entsprechenden Applikation zu verarbeiten. Diese können ihm beispielsweise über eine präparierte Webseite oder E-Mail-Nachricht zugeleitet werden.

  • CVE-2008-4037:
    Eine Schwachstelle in der Verarbeitung von NT LAN Manager Authentifizierungsdaten des Server Message Block unter Windows Betriebssystemen kann von einem Angreifer dazu ausgenutzt werden, die Benutzerauthentifizierungsdaten in einer Weise zu stehlen, dass sie für eine Replayattacke verwendet werden können. Der Angreifer ist damit in der Lage, beliebigen Programmcode im Kontext des Benutzers auf dem beherbergenden System auszuführen.

    Um diese Schwachstelle erfolgreich auszunutzen, muss ein Angreifer einen Benutzer eines betroffenen Systems dazu veranlassen sich mittels SMB mit einem entsprechend präparierten Server zu verbinden, der unter der Kontrolle des Angreifers steht. Diese kann beispielsweise über einen entsprechenden URI geschehen, der in einer präparierten Webseite oder E-Mail-Nachricht enthalten ist.
    Danach sendet der Angreifer die soeben erhaltenen Authentifizierungsdaten zurück an das System des Opfers (sog. SMB credential reflection attack) und ist in der Lage, beliebigen Programmcode auszuführen. Um diese Daten erfolgreich senden zu können, müssen die Ports 139 (tcp/udp) und 445 (tcp/udp) auf dem beherbergenden System freigeschaltet sein, was bei einer Teilnahme des Systems in einer Windows-Domäne mit Drucker- und Dateifreigaben standardmäßig der Fall ist.

    Neben anderen dokumentiert auch diese Schwachstelle in SMB/CIFS, dass es gefährlich ist, Domänen über durch Firewalls geschützte Netze hinaus zu erweitern.

  • Gegenmaßnahmen

    Vulnerability ID

    Weitere Information zu diesem Thema

    Revisionen dieser Meldung

    (og)

    Hinweis
    Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

    Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


    https://cert.uni-stuttgart.de/ticker/article.php?mid=1489