Eine Schwachstelle in den Routinen zur Verarbeitung von Dateien zur Definition Cursors, animierten Cursors und Icons unter Windows 2000, XP, Server 2003 und Vista, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit System-Privilegien auf dem beherbergenden Rechnersystem auszuführen.
UPDATE: Patch verfügbar

Betroffene Systeme

• Windows 2000 SP4
• Windows XP SP2
• Windows XP 64-Bit Edition Version 2003 für Itanium-basierte Systeme
• Windows XP Professional x64 Edition
• Windows Server 2003
• Windows Server 2003 SP1
• Windows Server 2003 SP2
• Windows Server 2003 für Itanium-basierte Systeme
• Windows Server 2003 SP1 für Itanium-basierte Systeme
• Windows Server 2003 SP2 für Itanium-basierte Systeme
• Windows Server 2003 x64 Edition
• Windows Server 2003 SP2 x64 Edition

Einfallstor

• .ani-Datei (Definitionsdatei für animierte Cursors)
• .cur-Datei (Definitionsdatei für Cursors)
• .ico-Datei (Definitionsdatei für Icons)

Auswirkung
Ausführung beliebigen Programmcodes mit System-Privilegien auf dem beherbergenden Rechnersystem
(system compromise)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Eine Schwachstelle in den Routinen zur Verarbeitung von Dateien zur Definition von Cursors (.cur), animierten Cursors (.ani) und Icons (.ico) unter Windows 2000, XP, Server 2003 und Vista, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit System-Privilegien auf dem beherbergenden Rechnersystem auszuführen. Die Routinen werden z.B. vom Internet Explorer oder von Outlook aufgerufen, wenn sie .ani-Dateien in einer Webseite oder einer HTML-E-Mail empfangen. Unter bestimmten Bedingungen kann dies auch bei einem installierten Firefox oder Mozilla geschehen. Um die Schwachstelle erfolgreich auszunutzen, ist es also erforderlich, dass das Opfer eine entsprechende Datei auf einer Webseite ansieht bzw. herunterlädt oder eine ensprechende E-Mail-Nachricht öffnet. Die Schwachstelle wird bereits aktiv ausgenutzt.

Microsoft hat im Rahmen seines Security Bulletin MS07-017 Patches zur Behebung der Schwachstelle veröffentlicht.

Workaround
Da das wichtigste Einfallstor die weitgehend automatische Verarbeitung der diversen Dateien durch Browser oder Mail User Agents (Programme zum lesen und Verfassen vin E-Mail-Nachrichten) ist, können die folgenden Maßnahmen die Ausnutzung erschweren:

• Betrieb des Internet Explorers im geschützten Modus
• Einschalten der plain text-Option in Outlook 2002 und späteren Versionen

Gegenmaßnahmen

• Microsoft hat im Rahmen seines Security Bulletin MS07-017 Patches zur Behebung der Schwachstelle veröffentlicht.

Vulnerability ID

• CVE-2007-0038

Exploit Status

• Die Schwachstelle wird aktiv ausgenutzt

Revisionen dieser Meldung

• V 1.0 (2007-03-29)
• V 1.1: Information zu MS07-017 hinzugefügt (2007-04-04)

Weitere Artikel zu diesem Thema:

• [MS/Windows] Microsoft stellt Patches für insgesamt 15 Schwachstellen bereit (2007-04-11)
  Nachdem der traditionelle Microsoft Patch Day im März 2007 ausfiel stellt Microsoft nun Patches für insgesamt 15 Schwachstellen bereit, von denen 14 durch MS als kritisch und eine als wichtig eingestuft wird. Die Schwachstellen befinden sich in der Graphics Rendering Engine, den Routinen zur Verarbeitung von Windows Metafiles (WMF), den Routinen zur Verarbeitung von Enhanced Metafiles (EMF), den Routinen zur Verarbeitung von animated Cursors (s. a. RUS-CERT#1360), im Truetype Fonts Rasterizer, im Content Management Server, im Universal Plug and Play service (UPnP), in den Routinen zur Verarbeitung von URLs des Microsoft Agent, im Windows Client/Server Run-time Subsystem (CSRSS) sowie im Windows Kernel. Die Auswirkungen sind unterschiedlich und reichen vom Versetzen des beherbergenden Rechnersystem in einen unbenutzbaren Zustand (DoS) über die Erweiterung der Privilegien ordnungsgemäß authentifizierter Benutzer bis zur Ausführung beliebigen Programmcodes mit administrativen Privilegien auf dem beherbergenden Rechnersystem über eine Netzwerkverbindung. Daher wird die Installation der bereitgestellten Patches dringend empfohlen.
• [MS/Windows] Patches beheben Schwachstellen in der HTML-Hilfe, dem Cursor-Handling und dem Indexing Service (2005-01-12)
  Schwachstellen im HTML-Hilfesystem, in den Routinen zur Verarbeitung von Cursor- und Iconformaten sowie im Indexing Service können von Angreifern dazu ausgenutzt werden, Programmcode mit den Privilegien der jeweiligen Prozesse auf dem beherbergenden Rechnersystem auszuführen. Microsoft stellt Patches zur Behebung dieser Schwachstellen bereit.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/