Im Rahmen seines Security Bulletin Summary für September 2006 stellt Microsoft Patches für drei Probleme bereit. Von den behobenen Schwachstellen wird eine im Microsoft Publisher 2000 bis 2003 als kritisch, eine Schwachstelle im Pragmatic General Multicast (PGM), einem durch die Microsoft Message Queuing Services (MSQS) Qualitätssicherungsprotokoll als wichtig, und eine Cross-Site-Scripting-Schwachstelle im Microsoft Index-Dienstals mittel eingestuft. Das Gefahrenpotential der Schwachstelle in MSQS wird durch das RUS-CERT als sehr hoch eingestuft. Die erst jüngst bekannt gewordene und bereits automatisiert ausgenutzte Schwachstelle in Word 2000 wird nicht behoben.

Betroffene Systeme

• CVE-2006-0001:
  
  • Microsoft Office 2000: Office Publisher 2000
  • Microsoft Office XP: Office Publisher 2002
  • Microsoft Office 2003: Office Publisher 2003
• CVE-2006-3442:
  
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 2
• CVE-2006-0032:
  Microsoft Indexdienst unter:
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows XP Service Pack 1 und Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 und Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 für Itanium-basierte Systeme und Microsoft Windows Server 2003 mit SP1 für Itanium-basierte Systeme
  • Microsoft Windows Server 2003 x64 Edition

Nicht betroffene Systeme

• CVE-2006-3442:
  
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 und Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 für Itanium-basierte Systeme und Microsoft Windows Server 2003 mit SP1 für Itanium-basierte Systeme
  • Microsoft Windows Server 2003 x64 Edition

Einfallstor

• CVE-2006-0001:
  Publisher-Datei (.pub)
• CVE-2006-3442:
  Speziell präparierte Multicast-Nachricht an die Microsoft Message Queuing Services (MSDN) mit aktiviertem Pragmatic General Multicasti (PGM)
• CVE-2006-0032:
  

Angriffsvoraussetzung

• CVE-2006-0001:
  Interaktion eines Benutzers des angegriffenen Systems
  Betrachten einer entsprechend präparierten Publisher-Datei durch einen Benutzer eines verwundbaren Systems. Ein Angreifer kann diese den Benutzer beispielsweise per E-Mail oder über eine Webseite zukommen lassen und muss diesen dann veranlassen, diese Datei anzusehen.
• CVE-2006-3442:
  Netzroute zu einem verwundbaren System
  Um einen Angriff erfolgreich durchzuführen, muss lediglich sichergestellt sein, dass entsprechend präparierte Multicast-Nachrichten an das verwundbare System gesendet werden können.
• CVE-2006-0032:
  Interaktion eines Benutzers des angegriffenen Systems
  Betrachten einer entsprechend gestalteten HTML-Seite durch einen Benutzer eines verwundbaren Systems. Ein Angreifer kann diese den Benutzer beispielsweise per E-Mail oder über eine Webseite zukommen lassen und muss diesen dann veranlassen, diese Datei anzusehen.

Auswirkung

• CVE-2006-0001:
  Ausführung beliebigen Programmcodes mit den Privilegien des betrachteten Benutzers auf dem beherbergenden Rechnersystem
  ((remote) user compromise)
• CVE-2006-3442:
  Ausführung beliebigen Programmcodes mit administrativen Privilegien auf dem beherbergenden Rechnersystem über eine Netzwerkverbindung
  (remote system compromise)
• CVE-2006-0032:
  Ausfúhrung beliebigen Skript-Codes mit den Privilegien des betrachteten Benutzers auf dem beherbergenden Rechnersystem über HTML-Code
  (cross site scripting)

Typ der Verwundbarkeit

• CVE-2006-0001:
  Pufferüberlaufschwachstelle
  buffer overflow bug
• CVE-2006-3442:
  Pufferüberlaufschwachstelle
  buffer overflow bug
• CVE-2006-0032:
  cross site scripting vulnerability

Gefahrenpotential

• CVE-2006-0001:
  hoch
• CVE-2006-3442:
  sehr hoch
• CVE-2006-0032:
  mittel

Beschreibung
Im Rahmen seines Security Bulletin Summary für September 2006 stellt Microsoft Patches für drei Probleme bereit. Die erst jüngst bekannt gewordene und bereits automatisiert ausgenutzte Schwachstelle in Word 2000 (s. RUS-CERT#1318) wird nicht behoben.

• CVE-2006-0001:
  Eine Pufferüberlaufschwachstelle im Microsoft Publisher 2000 bis 2003 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem mit den Privilegien des den Publisher verwendenden Benutzers auszuführen. Dabei ist es ausreichend, wenn der angegriffene Benutzer eine entsprechend präparierte Publisher-Datei öffnet, die ihm der Angreifer z.B. per E-Mail oder über eine Webseite zukommen lässt.
  Sofern der Benutzer Publisher mit administrativen Privilegien benutzt, kann diese Schwachstelle zur Kompromittierung des beherbergenden Rechnersystems ausgenutzt werden.
• CVE-2006-3442:
  Eine Pufferüberlaufschwachstelle im Pragmatic General Multicast (PGM - ein Qualitätssicherungsprotokoll für Multicastanwendungen) der Microsoft Message Queuing Services (MSMQ) kann dazu ausgenutzt werden, beliebigen Programmcode über eine Netzwerkverbindung mit administrativen Privilegien auf dem beherbergenden Rechnersystem auszuführen. Dabei ist es ausreichend, wenn der Angreifer in der Lage ist, speziell präparierte Multicast-Nachrichten an ein verwundbares System zu senden.
  Microsoft stuft diese Schwachstelle lediglich als "wichtig" ein, da MSMQ und damit PGM in der Voreinstellung nicht aktiviert sind. Das RUS-CERT bewertet das Gefahrenpotential einer Schwachstelle jedoch in einer Worst-Case-Betrachtung und stuft es in diesem Falle als "sehr hoch" ein, denn wenn der Dienst aktiv ist führt ihre erfolgreiche Ausnutzung zur Kompromittierung des beherbergenden Rechnersystems. Diese Meldung richtet sich daher an Infrastrukturbetreiber, die diesen Dienst betreiben.
  Die Installation der entsprechenden Patches ist dringend angeraten.
• CVE-2006-0032:
  Eine Cross-Site-Scripting-Schwachstelle im Indexing-Dienst von Microsoft Windows kann dazu ausgenutzt werden, Script-Code im Sicherheitskontext des betrachtenden Benutzers auf dem beherbergenden Rechnersystem auszuführen. Dabei ist es ausreichend, wenn der angegriffene Benutzer eine entsprechend präparierte Publisher-Datei öffnet, die ihm der Angreifer z.B. per E-Mail oder über eine Webseite zukommen lässt.
  

Gegenmaßnahmen

• CVE-2006-0001:
  
  • Installation der im Microsoft Bulletin MS06-054 referenzierten Updates
• CVE-2006-3442:
  
  • Installation der im Microsoft Bulletin MS06-052 referenzierten Updates
• CVE-2006-0032:
  
  • Installation der im Microsoft Bulletin MS06-053 referenzierten Updates

Vulnerability ID

• CVE-2006-0001
• CVE-2006-3442
• CVE-2006-0032

Revisonen dieser Meldung

• V 1.0: Als Kurzmeldung veröffentlicht (2006-09-13)
• V 1.1: Zur Vollmeldung erweitert (2006-09-13)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/