Im Rahmen des Windows Security Update Summary für Februar 2005 veröffentlicht Microsoft Patches zu mehreren teilweise kritischen Problemen in den Routinen zur Kanonisierung von URLs, zur Authentifizierung von named pipes, der Verarbeitung von Drag-and-Drop-Events, zur Verarbeitung von SMB-Paketen, von OLE- und von COM-Objekten sowie der Verarbeitung von PNG-Dateien. Weitere Patches beheben eine Cross-Site-Scripting-Schwachstelle in den Windows SharePoint Services, eine Schwachstelle im Licence Logging Service, dem ActiveX-Control für das DHTML Editing, eine Pufferüberlaufschwachstelle in der Hyperlink Object Library sowie mehrere Schwachstellen im Internet Explorer.

Betroffene Systeme

• CAN-2004-0847: Microsoft .NET Framework 1.0 und 1.1 für
  • Windows 2000 Service Pack 3 und Service Pack 4
  • Windows XP Service Pack 1 und Windows XP Service Pack 2
  • Windows Server 2003
  • Windows XP Tablet PC Edition
  • Windows XP Media Center Edition
  Weitere Details zu den betroffenen Systemen finden sich im Microsoft Security Bulletin MS05-004
• CAN-2005-0049:
  • Windows Server 2003 für Itanium-basierte Systeme
  • SharePoint Portal Server 2003
  • SharePoint Portal Server 2001
  Weitere Details zu den betroffenen Systemen finden sich im Microsoft Security Bulletin MS05-006
• CAN-2005-0051:
  • Windows Server 2003 für Itanium-basierte Systeme
  • SharePoint Portal Server 2003
  • SharePoint Portal Server 2001
  Weitere Details zu den betroffenen Systemen finden sich im Microsoft Security Bulletin MS05-007
• CAN-2005-0053:
  • Windows XP Service Pack 1 und Windows XP Service Pack 2
  • Windows XP 64-bit Edition Service Pack 1 (Itanium)
  • Windows XP 64-bit Edition Version 2003 (Itanium)
  • Windows Server 2003
  • Windows Server 2003 für Itanium-basierte Systeme
  • Windows 2000 Service Pack 3 und Service Pack 4
  • Windows 98, 98(SE), ME
  Weitere Details zu den betroffenen Systemen finden sich im Microsoft Security Bulletin MS05-008
• CAN-2004-0597, CAN-2004-1244:
  • Windows Media Player 9 unter Windows XP
  • Windows Media Player 9 unter Windows 2000
  • Windows Media Player 9 unter Windows Server 2003
  • Windows Messenger unter Windows XP 64-Bit Edition Service Pack 1
  • Windows Messenger unter Windows XP 64-Bit Edition Version 2003
  • Windows 98, 98(SE), ME
  Weitere Details zu den betroffenen Systemen finden sich im Microsoft Security Bulletin MS05-009
• CAN-2005-0050:
  • Windows NT Server 4.0 Service Pack 6a
  • Windows NT Server 4.0, Terminal Server Edition Service Pack 6
  • Windows 2000 Server Service Pack 4 und Service Pack 3
  • Windows Server 2003
  • Windows Server 2003 for 64-Bit für Itanium-basierte Systeme
  Weitere Details zu den betroffenen Systemen finden sich im Microsoft Security Bulletin MS05-010
• CAN-2005-0045:
  • Windows XP Service Pack 1 und Windows XP Service Pack 2
  • Windows XP 64-bit Edition Service Pack 1 (Itanium)
  • Windows XP 64-bit Edition Version 2003 (Itanium)
  • Windows Server 2003
  • Windows Server 2003 für Itanium-basierte Systeme
  • Windows 2000 Service Pack 3 und Service Pack 4
  Weitere Details zu den betroffenen Systemen finden sich im Microsoft Security Bulletin MS05-011
• CAN-2005-0044, CAN-2005-0047:
  • Windows XP SP2 and SP1
  • Windows XP 64-Bit Edition Service Pack 1 (Itanium)
  • Windows XP 64-Bit Edition Version 2003 (Itanium)
  • Windows 2000 Service Pack 4 und Service Pack 3
  • Windows Server 2003
  • Windows Server 2003 for 64-Bit Itanium-based Systems
  • Office XP Service Pack 3, Office XP Service Pack 2 und Office XP
    Hinweis: Office XP schließt Outlook 2002, Word 2002, Excel 2002, PowerPoint 2002, FrontPage 2002, Publisher 2002 und Access 2002 ein.
  • Office 2003 Service Pack 1 und Office 2003 Hinweis: Office 2003 schließt Outlook 2003, Word 2003, Excel 2003, PowerPoint 2003, FrontPage 2003, Publisher 2003, Access 2003, InfoPath 2003 und OneNote 2003 ein.
  • Exchange 2000 Server Service Pack 3
  • Exchange Server 2003
  • Exchange Server 2003 Service Pack 1
  • Exchange Server 5.0 SP2
  • Exchange Server 5.5 SP4
  Weitere Details zu den betroffenen Systemen finden sich im Microsoft Security Bulletin MS05-012
• CAN-2004-1319:
  • Windows XP Service Pack 1 und Windows XP Service Pack 2
  • Windows XP 64-bit Edition Service Pack 1 (Itanium)
  • Windows XP 64-bit Edition Version 2003 (Itanium)
  • Windows Server 2003
  • Windows Server 2003 für Itanium-basierte Systeme
  • Windows 2000 Service Pack 3 und Service Pack 4
  • Windows 98, 98(SE), ME
  Weitere Details zu den betroffenen Systemen finden sich im Microsoft Security Bulletin MS05-013
• CAN-2005-0053, CAN-2005-0054, CAN-2005-0055, CAN-2005-0056:
  • Internet Explorer 6 Service Pack 1 auf Windows XP SP1, Windows XP und Windows 2000 Service Pack 3 oder Service Pack 4
  • Internet Explorer 6 Service Pack 1 unter Windows ME, Windows 98 SE und Windows 98
  • Internet Explorer 6 für Windows XP Service Pack 1 (64-Bit Edition)
  • Internet Explorer 6 für Windows Server 2003
  • Internet Explorer 6 für Windows Server 2003 64-Bit Edition und Windows XP 64-Bit Edition Version 2003
  • Internet Explorer 6 für Windows XP Service Pack 2
  • Internet Explorer 5.5 SP2 unter Windows ME
  • Internet Explorer 5.01 Service Pack 4 unter Windows 2000 Service Pack 4
  • Internet Explorer 5.01 Service Pack 3 unter Windows 2000 Service Pack 3
  Weitere Details zu den betroffenen Systemen finden sich im Microsoft Security Bulletin MS05-014
• CAN-2005-0057:
  • Windows XP Service Pack 2 und Service Pack 1
  • Windows 2000 Service Pack 4 and Service Pack 3
  • Windows XP 64-Bit Edition SP1 (Itanium)
  • Windows XP 64-Bit Edition Version 2003 (Itanium)
  • Windows Server 2003
  • Windows Server 2003 für 64-Bit Itanium-basierte Systeme
  • Windows Me, Windows 98 SE und Windows 98
  Weitere Details zu den betroffenen Systemen finden sich im Microsoft Security Bulletin MS05-015

Nicht betroffene Systeme

• CAN-2005-0051:
  • Windows 2000 Service Pack 3 und Service Pack 4
  • Windows XP 64-bit Edition Version 2003
  • Windows Server 2003
  • Windows Server 2003 für Itanium-basierte Systeme
  • Windows 98, 98(SE), ME
  Weitere Details zu den betroffenen Systemen finden sich im Microsoft Security Bulletin MS05-007

Einfallstor

• CAN-2004-0847:
  Speziell formulierter URL, der an einen verwundbaren ASP.NET Server gesendet wird
• CAN-2005-0049:
  Speziell formulierte E-Mail-Nachricht an einen Microsoft SharePoint oder SharePoint Team Benutzer
• CAN-2005-0051:
  Speziell formulierte Anfrage an den Microsoft Computer Browser Service (Ports 139/tcp und 445/tcp)
• CAN-2005-0053:
  Speziell formulierte Webseite oder HTML-E-Mail-Nachricht
• CAN-2004-0597, CAN-2004-1244:
  PNG-Datei
• CAN-2005-0050:
  Anfrage an den License Logging Service (Ports 139/tcp und 445/tcp)
• CAN-2005-0045:
  Spezielle SMB-Pakete (Ports 135/tcp, 139/tcp und 445/tcp)
• CAN-2005-0044:
  autorisierter, nicht-privilegierter Zugiff auf ein verwundbares Rechnersystemem
• CAN-2005-0047:
  OLE-Objekt
• CAN-2004-1319:
  Speziell formulierte Webseite oder HTML-E-Mail-Nachricht
• CAN-2005-0053, CAN-2005-0054, CAN-2005-0055, CAN-2005-0056:
  Speziell formulierte Webseite oder HTML-E-Mail-Nachricht
• CAN-2005-0057:
  Speziell formulierte Webseite oder Datei

Auswirkung

• CAN-2004-0847:
  unautorisierter Zugriff auf Teile des ASP.NET Servers (information leak)
• CAN-2005-0049:
  Ausführen beliebigen Scriptcodes mit den Privilegen des Benutzers (remote user compromise)
• CAN-2005-0051:
  unautorisierter Zugriff auf Authentifizierungsdaten von Verbindungen, die auf named pipes basieren (information leak)
• CAN-2005-0053:
  Ablegen und Ausführen beliebigen Programmcodes mit den Privilegien des betrachtenden Benutzers auf dem beherbergenden Rechnersystem (remote user compromise)
• CAN-2004-0597, CAN-2004-1244:
  Ausführen beliebigen Programmcodes mit den Privilegien des betrachtenden Benutzers auf dem beherbergenden Rechnersystem (remote user compromise)
• CAN-2005-0050:
  Ausführen beliebigen Programmcodes auf dem beherbergenden Rechnersystem über eine Netzwerkverbindung (remote system compromise)
• CAN-2005-0045:
  Ausführen beliebigen Programmcodes auf dem beherbergenden Rechnersystem über eine Netzwerkverbindung (remote system compromise)
• CAN-2005-0044:
  Ausführen beliebigen Programmcodes auf dem beherbergenden Rechnersystem (local system compromise)
• CAN-2005-0047:
  Ausführen beliebigen Programmcodes mit den Privilegien des das OLE-Objekt öffneneden Benutzers auf dem beherbergenden Rechnersystem (remote user compromise)
• CAN-2004-1319:
  Ausführen beliebigen Programmcodes mit den Privilegien des betrachtenden Benutzers auf dem beherbergenden Rechnersystem (remote user compromise)
• CAN-2005-0053, CAN-2005-0054, CAN-2005-0055, CAN-2005-0056:
  Ablegen und Ausführen beliebigen Programmcodes mit den Privilegien des betrachtenden Benutzers auf dem beherbergenden Rechnersystem (remote user compromise)
• CAN-2005-0057:
  Ausführen beliebigen Programmcodes mit den Privilegien des betrachtenden Benutzers auf dem beherbergenden Rechnersystem (remote user compromise)

Typ der Verwundbarkeit

• CAN-2004-0847: Designfehler (design flaw)
• CAN-2005-0049: cross-site-scripting vulnerability
• CAN-2005-0051: unbekannt
• CAN-2005-0053: unbekannt
• CAN-2004-0597: Pufferüberlaufschwachstelle (buffer overflow bug)
• CAN-2004-1244: Pufferüberlaufschwachstelle (buffer overflow bug)
• CAN-2005-0050: Pufferüberlaufschwachstelle (buffer overflow bug)
• CAN-2005-0045: unbekannt
• CAN-2005-0044: unbekannt
• CAN-2005-0047: Pufferüberlaufschwachstelle (buffer overflow bug)
• CAN-2004-1319: unbekannt
• CAN-2005-0053: unbekannt
• CAN-2005-0054: unbekannt
• CAN-2005-0055: Pufferüberlaufschwachstelle (buffer overflow bug)
• CAN-2005-0056: unbekannt
• CAN-2005-0057: Pufferüberlaufschwachstelle (buffer overflow bug)

Gefahrenpotential

• CAN-2004-0847: hoch
• CAN-2005-0049: hoch
• CAN-2005-0051: mittel
• CAN-2005-0053: hoch (sehr hoch, wenn der Benutzer administrative Privilegien besitzt)
• CAN-2004-0597, CAN-2004-1244: hoch (sehr hoch, wenn der Benutzer administrative Privilegien besitzt)
• CAN-2005-0050: sehr hoch
• CAN-2005-0045: sehr hoch
• CAN-2005-0044: hoch
• CAN-2005-0047: hoch (sehr hoch, wenn der Benutzer administrative Privilegien besitzt)
• CAN-2004-1319: hoch (sehr hoch, wenn der Benutzer administrative Privilegien besitzt)
• CAN-2005-0053, CAN-2005-0054, CAN-2005-0055, CAN-2005-0056: hoch (sehr hoch, wenn der Benutzer administrative Privilegien besitzt)
• CAN-2005-0057: hoch (sehr hoch, wenn der Benutzer administrative Privilegien besitzt)

Beschreibung

• CAN-2004-0847:
  Eine Schwachstelle in den Routinen zur Kanonisierung von URLs des ASP.NET-Dienstes kann von einem Angreifer dazu ausgenutzt werden, unautorisierten Zugriff auf Teile des Web-Angebotes des ASP.NET Servers zu erlangen. Abhängig von den Inhalten des solchermaßen verwundbaren Inhaltes kann der Angreifer in besonderen Fällen Privilegien erlangen, die eine weitergehende Manipulationen ermöglichen.
• CAN-2005-0049:
  Eine Cross-Site-Scripting-Schwachstelle in den Windows SharePoint Services und SharePoint Team Services können von einem Angreifer dazu ausgenutzt werden, beliebigen Skriptcode mit den Privilegien des angegriffenen Benutzers auf dem beherbergenden Rechnersystem auszuführen. Es ist dabei ausreichend, wenn der Angreifer dem Benutzer eine entsprechend formulierte E-Mail-Nachricht schickt, und diese einen speziell zur Ausnutzung der Schwachstelle formulierten Link enthält den der Benutzer besucht. Sofern der angegriffene Benutzer administrative Privilegien besitzt, kann dies zur Kompromittierung des beherbergenden Rechnersystems führen.
• CAN-2005-0051:
  Eine Schwachstelle in den Routinen zur Validierung von Authentifizierungsinformation für den Aufbau von Verbindungen über named pipes kann von einem Angreifer dazu ausgenutzt werden, unautorisiert die Namen der Benutzer auszulesen, die eine offene Verbindung zu einer shared resource haben.
• CAN-2005-0053:
  Eine Schwachstelle in der Verarbeitung von Drag-and-Drop Events kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des angegriffenen Benutzers auf dem beherbergenden System abzuspeichern und/oder auzuführen. Dazu ist es ausreichend, wenn der Benutzer eine speziell formulierte Webseite oder HTML-E-Mail-Nachricht betrachtet. Sofern der betrachtende Benutzer administrative Privilegien besitzt, kann dies zur Kompromittierung des beherbergenden Rechnersystems führen. Nach derzeitigem Kenntnisstand betrifft diese Schwachstelle mindestens den Internet Explorer und diverse Office-Anwendungen.
• CAN-2004-0597, CAN-2004-1244:
  Zwei Pufferüberlaufschwachstellen in der Verarbeitung von PNG-Dateien des Windows Mediaplayers und des Microsoft Messengers können von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des entsprechenden Benutzers auf dem beherbergenden System auzuführen. Dabei ist es ausreichend, wenn der Benutzer eine entsprechende PNG-Datei öffnet, die er z.B. über eine Webseite, eine Netzwerkressource oder ein Attachment in einer E-Mail-Nachricht erhält. Sofern der betrachtende Benutzer administrative Privilegien besitzt, kann dies zur Kompromittierung des beherbergenden Rechnersystems führen.
• CAN-2005-0050:
  Eine Pufferüberlaufschwachstelle im Licence Logging Service ermöglicht es Angreifern durch das Senden einer entsprechenden Anfrage beliebigen Programmcode auf dem beherbergen Rechnersystem auszuführen. Die erfolgreiche Ausnutzung dieser Schwachstelle führt zur unmittelbaren Kompromittierung des beherbergenden Rechnersystems.
• CAN-2005-0045:
  Eine Schwachstelle in den Routinen zur Verarbeitung bestimmter Server Message Block (SMB) Pakete kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen. Dabei ist es ausreichend, solcherlei Pakete an einen verwundbaren SMB-Server zu senden. Die erfolgreiche Ausnutzung dieser Schwachstelle führt zur unmittelbaren Kompromittierung des beherbergenden Rechnersystems. Die Erfahrung zeigt, daß nach relativ kurzer Zeit Schwachstellen solcher Art von automatisierten Angriffsprogrammen, wie z.B. Würmern oder Bots zu massenweiser Kompromittierung und nachfolgendem Mißbrauch verwundbarer Systeme ausgenutzt werden.
• CAN-2005-0044:
  Eine Schwachstelle im Speicherzugriff bei der Verarbeitung von COM structured storage Objekten kann von einem Angreifer mit autorisiertem, nicht-privilegiertem Zugriff auf ein verwundbares Rechnersystem dazu ausgenutzt werden, dieses zu kompromittieren.
• CAN-2005-0047:
  Eine Pufferüberlaufschwachstelle in den Routinen zur Validierung von OLE-Objekten kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des angegriffenen Benutzers auf dem beherbergenden Rechersystem auszuführen. Dazu ist es erforderlich, einen autorisierter Benutzer des beherbergenden Systems dazu zu veranlassen, ein entsprechendes OLE-Objekt, das er z.B. über eine Webseite, eine Netzwerkressource oder ein Attachment in einer E-Mail-Nachricht erhält, zu öffnen. Sofern der betrachtende Benutzer administrative Privilegien besitzt, kann dies zur Kompromittierung des beherbergenden Rechnersystems führen.
• CAN-2004-1319:
  Eine Schwachstelle im ActiveX-Control für das DHTML Editing erlaubt das Umgehen des cross-domain security model des Internet Explorers kann und von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des angegrffenen Benutzers auszuführen. Dabei ist es erforderlich, einen autorisierter Benutzer des beherbergenden Systems dazu zu veranlassen, eine entsprechende HTML-Seite, die er z.B. über eine Webseite, eine Netzwerkressource oder in einer HTML-E-Mail-Nachricht erhält, zu öffnen. Sofern der betrachtende Benutzer administrative Privilegien besitzt, kann dies zur Kompromittierung des beherbergenden Rechnersystems führen.
• CAN-2005-0053, CAN-2005-0054, CAN-2005-0055, CAN-2005-0056:
  Mehrere Schwachstellen im Internet Explorer erlauben einem Angreifer Dateien mit den Privilegien des browsenden Benutzers auf dem beherbergenden System zu speichern und beliebigen Programmcode mit den Privilegien des browsenden Benutzers auf dem beherbergenden System auszuführen. Sofern der browsende Benutzer administrative Privilegien besitzt, kann dies zur Kompromittierung des beherbergenden Rechnersystems führen.
• CAN-2005-0057:
  Eine Pufferüberlaufschwachstelle in der Hyperlink Object Library zur Behandlung von Hyperlinks kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des angegriffenen Benutzers auf dem beherbergenden Rechnersystem auszufühen. Dabei ist es ausreichend, wenn der angeriffene Benutzer einen entsprechend präparierten Hyperlink besucht, der in einer Datei oder einer Webseite enthalten ist. Sofern der browsende Benutzer administrative Privilegien besitzt, kann dies zur Kompromittierung des beherbergenden Rechnersystems führen.

Gegenmaßnahmen
Microsoft stellt die Patches über die "Windows Update"-Funktion zur Verfügung. Alternativ können die Updates über die jeweiligen Security-Bulletins bezogen werden:

Hinweis für Mitglieder der Universität Stuttgart:
Die Microsoft-Sicherheitsupdates sind über den RUS eigenen SUS-Server zu beziehen. Siehe hinzu:

• http://cert.uni-stuttgart.de/os/ms/sus.php

Alternativ können die Patches auch einzeln bezogen werden, Details finden sich auf den nachfolgenden Seiten. Zur Behebung der einzelnen Schwachstellen wird die

• CAN-2004-0847:
  Installation der im Microsoft Security Bulletin MS05-004 angegebenen Patches
• CAN-2005-0049:
  Installation der im Microsoft Security Bulletin MS05-006 angegebenen Patches
• CAN-2005-0051:
  Installattion der im Microsoft Security Bulletin MS05-007 angegebenen Patches
• CAN-2005-0053:
  Installation der im Microsoft Security Bulletin MS05-008 angegebenen Patches
• CAN-2004-0597, CAN-2004-1244:
  Installation der im Microsoft Security Bulletin MS05-009 angegebenen Patches
• CAN-2005-0050:
  Installation der im Microsoft Security Bulletin MS05-010 angegebenen Patches
• CAN-2005-0045:
  Installation der im Microsoft Security Bulletin MS05-011 angegebenen Patches
• CAN-2005-0044, CAN-2005-0047:
  Installation der im Microsoft Security Bulletin MS05-012 angegebenen Patches
• CAN-2004-1319:
  Installation der im Microsoft Security Bulletin MS05-013 angegebenen Patches
• CAN-2005-0053, CAN-2005-0054, CAN-2005-0055, CAN-2005-0056:
  Installation der im Microsoft Security Bulletin MS05-014 angegebenen Patches
• CAN-2005-0057:
  Installation der im Microsoft Security Bulletin MS05-015 angegebenen Patches

Vulnerability ID

• CAN-2004-0847
• CAN-2005-0049
• CAN-2005-0051
• CAN-2005-0053
• CAN-2004-0597
• CAN-2004-1244
• CAN-2005-0050
• CAN-2005-0045
• CAN-2005-0044
• CAN-2005-0047
• CAN-2004-1319
• CAN-2005-0053
• CAN-2005-0054
• CAN-2005-0055
• CAN-2005-0056
• CAN-2005-0057

Weitere Artikel zu diesem Thema:

• [MS/Windows] November-Patches von Microsoft beheben kritische Schwachstellen (2005-11-09)
  Mit den November-Patches behebt Microsoft verschiedene bereits länger bekannte (Siehe Meldung RUS-CERT#1235), teils kritische, Schwachstellen in Bildbearbeitungs- und Bilddarstellungsroutinen der Formate wmf und emf. Die Schwachstellen erlauben u.a. die Remote-Ausführung von beliebigem Programm-Code, z.B. durch Betrachten einer präparierten Grafik im Internet Explorer oder im E-Mail Client Outlook Express. Die Schwachstellen können in MS Windows 2000 SP4, XP, XP SP1 und SP2 sowie sämtlichen Versionen von MS Windows Server 2003 ausgenutzt werden. Nutzern dieser Betriebssysteme wird dringend empfohlen, die Patches einzuspielen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/