Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1513

[MS/Windows] Microsoft stellt Patches für insgesamt acht Schwachstellen bereit
(2009-02-10 19:40:17.614361+00) Druckversion

Quelle: http://www.microsoft.com/technet/security/bulletin/ms09-feb.mspx

Im Rahmen seines Microsoft Security Bulletin Summary for February 2009 stellt Microsoft Patches für insgesamt acht Schwachstellen bereit, die dazu ausgenutzt werden können, beliebigen Programmcode auf dem beherbergenden System auszuführen bzw. es in einen unbenutzbaren Zustand zu versetzen. Die Schwachstellen betreffen den Intenet Explorer, den SQL Server, Microsoft Exchange und Microsoft Visio.

Inhalt

Zusammenfassung

  • CVE-2009-0075:
    Betroffen: Internet Explorer 7
    Einfallstor: HTML
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Pufferüberlaufschwachstelle
    Gefahrenpotential: hoch
    Workaround: nein
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-0075
  • CVE-2009-0076:
    Betroffen: Internet Explorer 7
    Einfallstor: HTML
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Pufferüberlaufschwachstelle
    Gefahrenpotential: hoch
    Workaround: nein
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-0076
  • CVE-2009-0098:
    Betroffen: Microsoft Exchange Server
    Einfallstor: TNEF-Nachricht
    Angriffsvoraussetzung:Netzwerk
    Angriffsvektorklasse: remote
    Auswirkung: system compromise
    Typ: Pufferüberlaufschwachstelle
    Gefahrenpotential: sehr hoch
    Workaround: nein
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-0098
  • CVE-2009-0099:
    Betroffen: Microsoft Exchange Server
    Einfallstor: MAPI-Kommando
    Angriffsvoraussetzung:Netzwerk
    Angriffsvektorklasse: remote
    Auswirkung: denial of service
    Typ: Pufferüberlaufschwachstelle
    Gefahrenpotential: mittel
    Workaround: nein
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-0099
  • CVE-2008-5416:
    Betroffen: Microsoft SQL Server
    Einfallstor: sp_replwritetovarbin
    Angriffsvoraussetzung:DB user credentials
    Angriffsvektorklasse: application user
    Auswirkung: user compromise
    Typ: Pufferüberlaufschwachstelle
    Gefahrenpotential: mittel bis hoch
    Workaround: ja
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2008-5416
    Referenz: RUS-CERT#1496
  • CVE-2009-0095:
    Betroffen: Microsoft Office Visio
    Einfallstor: Visio-Datei
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Pufferüberlaufschwachstelle
    Gefahrenpotential: hoch
    Workaround: nein
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-0095
  • CVE-2009-0096:
    Betroffen: Microsoft Office Visio
    Einfallstor: Visio-Datei
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Pufferüberlaufschwachstelle
    Gefahrenpotential: hoch
    Workaround: nein
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-0096
  • CVE-2009-0097:
    Betroffen: Microsoft Office Visio
    Einfallstor: Visio-Datei
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Pufferüberlaufschwachstelle
    Gefahrenpotential: hoch
    Workaround: nein
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-0097

Betroffene Systeme

  • CVE-2009-0075:
    Internet Explorer 7 unter:
    • Microsoft Windows XP SP2
    • Microsoft Windows XP SP3
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows XP Professional x64 Edition SP2
    • Microsoft Windows Server 2003 SP1
    • Microsoft Windows Server 2003 SP2
    • Microsoft Windows Server 2003 x64 Edition
    • Microsoft Windows Server 2003 x64 Edition SP2
    • Microsoft Windows Server 2003 SP1 für Itanium basierte Systeme
    • Microsoft Windows Server 2003 SP2 für Itanium basierte Systeme
    • Microsoft Windows Vista
    • Microsoft Windows Vista SP1
    • Microsoft Windows Vista x64 Edition
    • Microsoft Windows Vista x64 Edition SP1
    • Microsoft Windows Server 2008 für 32-bit Systeme (bei Server-Core Installation unter Umständen nicht betroffen)
    • Microsoft Windows Server 2008 für x64-basierte Systeme (bei Server-Core Installation unter Umständen nicht betroffen)
    • Microsoft Windows Server 2008 für Itanium basierte Systeme
  • CVE-2009-0076:
    Internet Explorer 7 unter:
    • Microsoft Windows XP SP2
    • Microsoft Windows XP SP3
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows XP Professional x64 Edition SP2
    • Microsoft Windows Server 2003 SP1
    • Microsoft Windows Server 2003 SP2
    • Microsoft Windows Server 2003 x64 Edition
    • Microsoft Windows Server 2003 x64 Edition SP2
    • Microsoft Windows Server 2003 SP1 für Itanium basierte Systeme
    • Microsoft Windows Server 2003 SP2 für Itanium basierte Systeme
    • Microsoft Windows Vista
    • Microsoft Windows Vista SP1
    • Microsoft Windows Vista x64 Edition
    • Microsoft Windows Vista x64 Edition SP1
    • Microsoft Windows Server 2008 für 32-bit Systeme (bei Server-Core Installation unter Umständen nicht betroffen)
    • Microsoft Windows Server 2008 für x64-basierte Systeme (bei Server-Core Installation unter Umständen nicht betroffen)
    • Microsoft Windows Server 2008 für Itanium basierte Systeme
  • CVE-2009-0098:
    • Microsoft Exchange 2000 SP3
    • Microsoft Exchange 2003 SP2
    • Microsoft Exchange 2007 SP1
    • Microsoft Exchange MAPI Client und Collaboration Data Objects 1.2.1
  • CVE-2009-0099:
    • Microsoft Exchange 2000 SP3
    • Microsoft Exchange 2003 SP2
  • CVE-2008-5416:
    Microsoft SQL Server 2000 desktop engine (WMSDE), sowie Windows Internal Database SP2 (WYukon)
    • Microsoft Windows Server 2003 SP1
    • Microsoft Windows Server 2003 SP2
    • Microsoft Windows Server 2003 x64 Edition
    • Microsoft Windows Server 2003 x64 Edition SP2
    • Microsoft Windows Server 2008 für 32-bit Systeme (nur Server-Core Installation betroffen)
    • Microsoft Windows Server 2008 für x64-basierte Systeme (nur Server-Core Installation betroffen)
    sowie
    • Microsoft SQL Server 2000 SP4 mit GDR oder QFE Update
    • Microsoft SQL Server 2000 SP4 für Itanium basierte Systeme mit GDR oder QFE Update
    • Microsoft SQL Server 2005 SP2 mit GDR oder QFE Update
    • Microsoft SQL Server 2005 x64 Edition SP2 mit GDR oder QFE Update
    • Microsoft SQL Server 2005 SP2 für Itanium basierte Systeme mit GDR oder QFE Update
    • Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) SP4 mit GDR oder QFE Update
    • Microsoft SQL Server 2005 Express Edition SP2 mit GDR oder QFE Update
    • Microsoft SQL Server 2005 Express Edition mit erweiterten Diensten SP2 mit GDR oder QFE Update
  • CVE-2009-0095:
    • Microsoft Office Visio 2002 SP2
    • Microsoft Office Visio 2003 SP3
    • Microsoft Office Visio 2007 SP1
  • CVE-2009-0096:
    • Microsoft Office Visio 2002 SP2
    • Microsoft Office Visio 2003 SP3
    • Microsoft Office Visio 2007 SP1
  • CVE-2009-0097:
    • Microsoft Office Visio 2002 SP2
    • Microsoft Office Visio 2003 SP3

Einfallstor

  • CVE-2009-0075:
    Speziell präparierte HTML-Seite, z.B. als Webseite oder HTML-E-Mail-Nachricht
  • CVE-2009-0076:
    Speziell präparierte HTML-Seite, z.B. als Webseite oder HTML-E-Mail-Nachricht
  • CVE-2009-0098:
    Speziell präparierte TNEF-Nachricht
  • CVE-2009-0099:
    Speziell präpariertes MAPI Kommando
  • CVE-2008-5416:
    Aufruf der stored procedure sp_replwritetovarbin
  • CVE-2009-0095:
    Speziell präpariertes Microsoft Visio-Dokument
  • CVE-2009-0096:
    Speziell präpariertes Microsoft Visio-Dokument
  • CVE-2009-0097:
    Speziell präpariertes Microsoft Visio-Dokument

Angriffsvoraussetzung

  • CVE-2009-0075:
    Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen eine entsprechende Webseite zu besuchen oder HTML-E-Mail-Nachricht zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, da i.A. der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.
    (user interaction)
  • CVE-2009-0076:
    Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen eine entsprechende Webseite zu besuchen oder HTML-E-Mail-Nachricht zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, da i.A. der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.
    (user interaction)
  • CVE-2009-0098:
    Zugriff auf ein Netzwerk über das entsprechende Emails an den Exchange Server gesandt werden können. Der Exchange Server Information Store muss dazu so konfiguriert sein, dass er die Nachricht verarbeitet.
    (network)
  • CVE-2009-0099:
    Die Möglichkeit über den EMSMDB32 provider einen speziellen MAPI-Befehl abzusetzen.
    (network)
  • CVE-2008-5416:
    Gültiger Berechtigungsnachweis für den Zugriff auf die Datenbank. Dabei müssen die Privilegien derart sein, dass die entsprechende Prozedur aufgerufen werden kann. Voreingestellt kann sie von jedem Datenbankbenutzer aufgerufen werden.
    (user creedentials)
  • CVE-2009-0095:
    Benutzerinteraktion -- ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechende Datei mit einer der verwundbaren Applikationen zu öffnen. Eine solche Datei kann dem Opfer z.B. mittels einer E-Mail-Nachricht oder einer Webseite zugeleitet werden.
    (user interaction)
  • CVE-2009-0096:
    Benutzerinteraktion -- ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechende Datei mit einer der verwundbaren Applikationen zu öffnen. Eine solche Datei kann dem Opfer z.B. mittels einer E-Mail-Nachricht oder einer Webseite zugeleitet werden.
    (user interaction)
  • CVE-2009-0097:
    Benutzerinteraktion -- ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechende Datei mit einer der verwundbaren Applikationen zu öffnen. Eine solche Datei kann dem Opfer z.B. mittels einer E-Mail-Nachricht oder einer Webseite zugeleitet werden.
    (user interaction)

Angriffsvektorklasse

  • CVE-2009-0075:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2009-0076:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2009-0098:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2009-0099:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2008-5416:
    Applikationsbenutzer, auch über eine Netzwerkverbindung
    (application user)
  • CVE-2009-0095:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2009-0096:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2009-0097:
    über eine Netzwerkverbindung
    (remote)

Auswirkung

  • CVE-2009-0075:
    Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des Prozesses der verwundbaren Anwendung (üblicherweise die Privilegien des Benutzers, der sie gestartet hat)
    (user compromise)
  • CVE-2009-0076:
    Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des Prozesses der verwundbaren Anwendung (üblicherweise die Privilegien des Benutzers, der sie gestartet hat)
    (user compromise)
  • CVE-2009-0098:
    Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des Exchange-Prozesses
    (system compromise)
  • CVE-2009-0099:
    Versetzen eines betroffenen Systems in einen unbenutzbaren Zustand
    (denial of service)
  • CVE-2008-5416:
    Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des Prozesses der verwundbaren Anwendung (üblicherweise die Privilegien des Benutzers, der sie gestartet hat)
    (user compromise)
  • CVE-2009-0095:
    Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des Prozesses der verwundbaren Anwendung (üblicherweise die Privilegien des Benutzers, der sie gestartet hat)
    (user compromise)
  • CVE-2009-0096:
    Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des Prozesses der verwundbaren Anwendung (üblicherweise die Privilegien des Benutzers, der sie gestartet hat)
    (user compromise)
  • CVE-2009-0097:
    Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des Prozesses der verwundbaren Anwendung (üblicherweise die Privilegien des Benutzers, der sie gestartet hat)
    (user compromise)

Typ der Verwundbarkeit

  • CVE-2009-0075:
    Pufferüberlaufschwachstelle
    (buffer overflow bug)
  • CVE-2009-0076:
    Pufferüberlaufschwachstelle
    (buffer overflow bug)
  • CVE-2009-0098:
    Pufferüberlaufschwachstelle
    (buffer overflow bug)
  • CVE-2009-0099:
    Entwurfsfehler
    (design flaw)
  • CVE-2008-5416:
    Pufferüberlaufschwachstelle
    (buffer overflow bug)
  • CVE-2009-0095:
    Pufferüberlaufschwachstelle
    (buffer overflow bug)
  • CVE-2009-0096:
    Pufferüberlaufschwachstelle
    (buffer overflow bug)
  • CVE-2009-0097:
    Pufferüberlaufschwachstelle
    (buffer overflow bug)

Gefahrenpotential

  • CVE-2009-0075:
    hoch
  • CVE-2009-0076:
    hoch
  • CVE-2009-0098:
    sehr hoch
  • CVE-2009-0099:
    mittel
  • CVE-2008-5416:
    mittel bis hoch
  • CVE-2009-0095:
    hoch
  • CVE-2009-0096:
    hoch
  • CVE-2009-0097:
    hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

  • CVE-2009-0075:
    Eine Schwachstelle in den Routinen Verarbeitung von Fehlern beim versuchten Zugriff auf gelöschte Objekte des Internet Explorers 7 kann durch einen Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Der Code wird dabei mit den Privilegien des Prozesses der verwundbaren Anwendung ausgeführt. Dies sind üblicherweise die Privilegien des Benutzers, der sie gestartet hat. Um die Schwachstelle erfolgreich ausnutzen zu können, muss der Angreifer einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechend präparierte HTML-Datei, etwa eine Webseite oder eine HTML-E-Mail-Nachricht, zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, da in vielen Konfigurationen der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.
  • CVE-2009-0076:
    Eine Schwachstelle in der Implementierung des XHTML Strict Modus kann von einem Angreifer mit der "zoom" style-Eigenschaft in Verbindung mit unspezifizierten weiteren Direktiven im CSS-Stylesheet dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Der Code wird dabei mit den Privilegien des Prozesses der verwundbaren Anwendung ausgeführt. Dies sind üblicherweise die Privilegien des Benutzers, der sie gestartet hat. Um die Schwachstelle erfolgreich ausnutzen zu können, muss der Angreifer einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechend präparierte HTML-Datei, etwa eine Webseite oder eine HTML-E-Mail-Nachricht, zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, da in vielen Konfigurationen der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.
  • CVE-2009-0098:
    Eine Schwachstelle in den Routinen zur Interpretation der Eigenschaften von TNEF-Nachrichten des Mailserversystems Microsoft Exchange kann kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Der Code wird dabei mit den Privilegien des Prozesses der verwundbaren Anwendung ausgeführt. Dies sind im Allgemeinen SYSTEM-Privilegien, was zur unmittelbaren Kompromittierung des beherbergenden Systems führt Um die Schwachstelle erfolgreich ausnutzen zu können, muss der Angreifer in der Lage sein, entsprechende TNEF Nachrichten an einen Benutzer zu senden, der durch einen betroffenen Exchange Server bedient wird.
  • CVE-2009-0099:
    Eine Schwachstelle in der Verarbeitung von MAPI-Kommandos kann von einem Angreifer durch das Senden speziell präparierter MAPI Aufrufe an einen verwundbaren Exchange Server dazu ausgenutzt werden, den Exchange Server in einen unbenutzbaren Zustand zu versetzen.
  • CVE-2008-5416:
    Durch den Aufruf der extended stored procedure sp_replwritetovarbin mit uninitialisierten Variablen als Parameter kann ein Pufferüberlauf provoziert werden. Dieser Umstand kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Betriebssystem mit den Privilegien des SQL-Server-Prozesses auszuführen.

    Um die Prozedur aufrufen zu können, muss der Angreifer im Besitz eines Berechtigungsnachweises eines Datenbankbenutzers sein, der die entsprechenden Privilegien besitzt. Voreingestellt sind jedoch keine speziellen Privilegien erforderlich, da die Prozedur von jedem Datenbankbenutzer aufgerufen werden kann.

    Die recht hohen Hürden zur erfolgreichen Ausnutzung der Schwachstelle relativieren sich möglicherweise, wenn ein betroffener SQL Server z.B. als Backend einer Web-Applikation eingesetzt wird und über eine Web-Schnittstelle Anfragen an den Server geschickt werden können. Je nach Implementierung der Applikation kann die Schwachstelle u.U. über das Netzwerk ausgenutzt werden, ohne dass der Angreifer irgendwelche Voraussetzungen erfüllen muss.

    Diese Schwachstelle, für die Microsoft nun einen Patch zur Behebung bereitstellt, wurde bereits in der RUS-CERT Meldung Nr. 1496 vom 10.12.2008 beschrieben.

  • CVE-2009-0095:
    Ein Fehler in der Validation von Objektdaten in Visio-Dateien betroffener Versionen von Microsoft Visio kann durch einen Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Der Code wird dabei mit den Privilegien des Prozesses der verwundbaren Anwendung ausgeführt. Dies sind üblicherweise die Privilegien des Benutzers, der sie gestartet hat. Um die Schwachstelle erfolgreich ausnutzen zu können, muss der Angreifer einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechend präparierte Visio-Datei zu öffnen. Diese kann er dem Opfer z.B. mittels einer E-Mail-Nachricht oder über eine Webseite zuleiten.
  • CVE-2009-0096:
    Ein Fehler in den Kopieroperationen für Objektdaen in Visio-Dateien kann durch einen Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Der Code wird dabei mit den Privilegien des Prozesses der verwundbaren Anwendung ausgeführt. Dies sind üblicherweise die Privilegien des Benutzers, der sie gestartet hat. Um die Schwachstelle erfolgreich ausnutzen zu können, muss der Angreifer einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechend präparierte Visio-Datei zu öffnen. Diese kann er dem Opfer z.B. mittels einer E-Mail-Nachricht oder über eine Webseite zuleiten.
  • CVE-2009-0097:
    Ein Fehler in der Validierung von Speicheranforderungen für Visio-Dateien kann durch einen Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Der Code wird dabei mit den Privilegien des Prozesses der verwundbaren Anwendung ausgeführt. Dies sind üblicherweise die Privilegien des Benutzers, der sie gestartet hat. Um die Schwachstelle erfolgreich ausnutzen zu können, muss der Angreifer einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechend präparierte Visio-Datei zu öffnen. Diese kann er dem Opfer z.B. mittels einer E-Mail-Nachricht oder über eine Webseite zuleiten.

Workaround

Gegenmaßnahmen

Vulnerability ID

(ms)

Weitere Artikel zu diesem Thema:

  • [MS/MS SQL] Schwachstelle im MS SQL Server (UPDATE) (2008-12-10)
    Eine Schwachstelle im Datenbanksystem Microsoft SQL Server kann von einem Angreifer dazu ausgenutzt werden, durch den Aufruf einer voreingestellt verwendbaren Prozedur beliebigen Programmcode auf dem beherbergenden System mit den Privilegien des SQL-Server-Prozesses auszuführen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.