Im Rahmen der Veröffentlichung des Microsoft Security Bulletins für Februar 2006 stellt Microsoft sieben Patches bereit, die Schwachstellen im Internet Explorer, dem Windows Media Player, dem Windows Media Player Plug-In für fremde Browser, der IGMP-Implementierung von Windows, dem Web Client Service, dem koreanischen Input Method Editor sowie in Power Point 2000 beheben. UPDATE: Nach Angaben von eEye Security sind bereits Exploits, die die Schwachstelle im Windows Media Player ausnutzen, im Umlauf.

Betroffene Systeme

• CVE-2006-0020:
  
  • Microsoft Windows 2000 Service Pack 4
• CVE-2006-0006:
  
  • Windows Media Player 7.1, 9 und 10 für XP unter Microsoft Windows XP Service Pack 1
  • Windows Media Player 9 unter Microsoft Windows XP Service Pack 2
  • Windows Media Player 9 unter Microsoft Windows Server 2003
  • Microsoft Windows Media Player 9 unter Windows 2000 Service Pack 4
  • Microsoft Windows Media Player 10 unter Windows XP Service Pack 1 oder 2
• CVE-2006-0005:
  
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows XP Service Pack 1 und 2
  • Microsoft Windows Server 2003 und Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 x64 Edition
• CVE-2006-0021:
  
  • Microsoft Windows XP Service Pack 1 und 2
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 und Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 und Microsoft Windows Server 2003 Service Pack 1 für Itanium-basierte Systeme
  • Microsoft Windows Server 2003 x64 Edition
• CVE-2006-0013:
  
  • Microsoft Windows XP Service Pack 1 und 2
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 und Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 und Microsoft Windows Server 2003 Service Pack 1 für Itanium-basierte Systeme
  • Microsoft Windows Server 2003 x64 Edition
• CVE-2006-0008:
  
  • Diverse koreanische Versionen von Microsoft Produkten. Details finden sich im Microsoft Security Bulletin MS06-009.
• CVE-2006-0004:
  
  • PowerPoint 2000 unter Microsoft Office 2000 Service Pack 3

Einfallstor

• CVE-2006-0020:
  Speziell präparierte WMF-Datei, z.B. auf einer Webseite
• CVE-2006-0006:
  Speziell präparierte BMP-Datei (Bitmap)
• CVE-2006-0005:
  HTML-Dokument mit speziell präpariertem <embed> Element
• CVE-2006-0021:
  Speziell präpariertes IGMP-Paket an ein betroffenes System über eine Netzwerkverbindung
• CVE-2006-0013:
  Speziell präparierte Nachrichten an den Web Client durch einen regulär authentifizierten Benutzer
• CVE-2006-0008:
  Details finden sich im Microsoft Security Bulletin MS06-009.
• CVE-2006-0004:
  Speziell präparierte Powerpoint Präsentation, die über eine mittels des Internet Explorers betrachtete HTML-Seite an Powerpoint übergeben wird.

Auswirkung

• CVE-2006-0020:
  Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegien des betrachtenden Benutzers
  (remote user compromise)
• CVE-2006-0006: Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegien des betrachtenden Benutzers
  (remote user compromise)
• CVE-2006-0005: Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegien des betrachtenden Benutzers
  (remote user compromise)
• CVE-2006-0021: Nichtverfügbarkeit der Netzdienste des beherbergenden Rechnersystems
  (denial of service)
• CVE-2006-0013: Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit Systemprivilegien
  (local system compromise)
• CVE-2006-0008: Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit Systemprivilegien
  (local system compromise)
• CVE-2006-0004: Unauthorisierte Erlangung von geschützter Information
  (information leak)

Typ der Verwundbarkeit

• CVE-2006-0020:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2006-0006:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2006-0005:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2006-0021:
  unbekannt
• CVE-2006-0013:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2006-0008:
  unbekannt
• CVE-2006-0004:
  Designfehler: unsichere Behandlung temprorär gespeicherter Daten
  (design flaw)

Gefahrenpotential

• CVE-2006-0020:
  hoch
• CVE-2006-0006:
  hoch
• CVE-2006-0005:
  hoch
• CVE-2006-0021:
  mittel
• CVE-2006-0013:
  hoch
• CVE-2006-0008:
  hoch
• CVE-2006-0004:
  niedrig bis mittel

Beschreibung
Im Rahmen der Veröffentlichung des Microsoft Security Bulletins für Februar 2006 stellt Microsoft sieben Patches bereit:

• CVE-2006-0020:
  Eine Pufferüberlaufschwachstelle in den Routinen zur Verarbeitung von Windows Metafile (WMF) Bildern der Graphik-Rendering-Engine des Internet Explorers kann von einem Angreifer zur Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem ausgenutzt werden. Zur Ausnutzung ist es ausreichend, wenn ein Benutzer eine entsprechend präparierte Webseite oder HTML-E-Mail-Nachricht mittels des IE betrachtet. Sofern der Benutzer administrative Privilegien besitzt, kann diese Schwachstelle zur Kompromittierung des beherbergenden Rechnersystems ausgenutzt werden.
• CVE-2006-0006:
  Eine Pufferüberlaufschwachstelle in den Routinen zur Verarbeitung von Bitmap-Dateien (BMP) des Windows Media Players kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des betrachtenden Benutzers auf dem beherbergenden Rechnersystem auszuführen. Für die Ausnutzung ist es ausreichend, wenn ein Benutzer eine entsprechend präparierte Datei, z.B. eingebettet in eine Webseite oder HTML-E-Mail-Nachricht, mit dem Media Player betrachtet. Sofern der Benutzer administrative Privilegien besitzt, kann diese Schwachstelle zur Kompromittierung des beherbergenden Rechnersystems ausgenutzt werden.

  UPDATE: Nach Angaben von eEye Digital Security sind bereits Exploits für diese Schwachstelle verfügbar und werden aktiv eingesetzt.

• CVE-2006-0005:
  Eine Pufferüberlaufschwachstelle in den Routinen zur Verarbeitung von <embed> Elementen des Windows Media Player >Plug-Ins für Microsoft-fremde Browser (heißt: nicht Internet Explorer) kann von einem Angreifer zur Ausführung beliebigen Programmcodes mit den Privilegien des browsenden Benutzers ausgenutzt werden. Zur Ausnutzung ist es ausreichend, wenn ein Benutzer eine entsprechend präparierte Webseite oder HTML-E-Mail-Nachricht unter Verwendung des Plug-Ins betrachtet. Sofern der Benutzer administrative Privilegien besitzt, kann diese Schwachstelle zur Kompromittierung des beherbergenden Rechnersystems ausgenutzt werden.
• CVE-2006-0021:
  Eine nicht näher beschriebene Schwachstelle in der IGMP-Implementierung von Windows kann von einem Angreifer dazu ausgenuzt werden, das beherbergende Rechnersystem in einen Zustand zu versetzen, nicht mehr auf Anfragen zu reagieren.
• CVE-2006-0013:
  Eine Pufferüberlaufschwachstelle im Web Client Service kann von einem regulär authentifizierten Benutzer ohne Systemprivilegien dazu ausgenutzt werden, beliebigen Programmcode mit Systemprivilegien des betrachtenden Benutzers auf dem beherbergenden Rechnersystem auszuführen. Dazu ist es erforderlich, nach der ordnungsgemäßen Authentifizierung spezielle Nachrichten an den Web Client Service zu senden.
• CVE-2006-0008:
  Details finden sich im Microsoft Security Bulletin MS06-009.
• CVE-2006-0004:
  Eine Schwachstelle in Powerpoint 2000 kann dazu führen, daß ein unautorisierter Angreifer Zugriff auf temporär gespeicherte Daten erhält.

Es wird daher dringend empfohlen, die entsprechenden Patches zu installieren.

Gegenmaßnahmen

• CVE-2006-0020:
  Installation der im Microsoft Bulletin MS06-004 angegebenen Updates.
• CVE-2006-0006:
  Installation der im Microsoft Bulletin MS06-005 angegebenen Updates.
• CVE-2006-0005:
  Installation der im Microsoft Bulletin MS06-006 angegebenen Updates.
• CVE-2006-0021:
  Installation der im Microsoft Bulletin MS06-007 angegebenen Updates.
• CVE-2006-0013:
  Installation der im Microsoft Bulletin MS06-008 angegebenen Updates.
• CVE-2006-0008:
  Installation der im Microsoft Bulletin MS06-009 angegebenen Updates.
• CVE-2006-0004:
  Installation der im Microsoft Bulletin MS06-010 angegebenen Updates.

Hinweis für Mitglieder der Universität Stuttgart:
Die Microsoft-Sicherheitsupdates sind über den RUS-eigenen SUS-Server zu beziehen. Siehe hinzu:

• http://cert.uni-stuttgart.de/os/ms/sus.php

Vulnerability ID

• MS06-004, CVE-2006-0020
• MS06-005, CVE-2006-0006
• MS06-006, CVE-2006-0005
• MS06-007, CVE-2006-0021
• MS06-008, CVE-2006-0013
• MS06-009, CVE-2006-0008
• MS06-010, CVE-2006-0004

Weitere Information zu diesem Thema

• eEye Security Advisory: Windows Media Player BMP Heap Overflow

Exploit Status

• CVE-2006-0006:
  Expoits sind verfügbar und in Umlauf

Revisionen dieser Meldung

• V 1.0 Als Kurzmeldung veröffentlicht (2006-02-15)
• V 1.1 Zur Vollmeldung erweitert (2006-02-17)
• V 1.2 UPDATE: Exploits für CVE-2006-0006/MS06-005 in Umlauf (2006-02-17)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/