Im Rahmen seines Security Bulletin Summary für Mai 2008 stellt Microsoft Patches für insgesamt sechs, teilweise kritische Schwachstellen bereit. Die Schwachstellen betreffen Microsoft Word, Microsoft Publisher, die Microsoft Jet Database Engine sowie die Microsoft Malware Protection Engine. Sie lassen zum großen Teil die Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem zu. Es wird empfohlen, die bereitgestellten Updates rasch zu installieren.

Betroffene Systeme

• CVE-2008-1091:
  
  • Microsoft Word 2000 SP3
  • Microsoft Word 2002 SP3
  • Microsoft Word 2003 SP2
  • Microsoft Word 2003 SP3
  • Microsoft Word 2007
  • Microsoft Outlook 2007
  • Microsoft Word 2007 SP1
  • Microsoft Outlook 2007 SP1
  • Microsoft Word Viewer 2003
  • Microsoft Word Viewer 2003 SP3
  • Microsoft Office Compatibility Pack für Word, Excel und PowerPoint 2007 File Formats
  • Microsoft Office Compatibility Pack für Word, Excel und PowerPoint 2007 File Formats SP1
  • Microsoft Office 2004 für Mac
  • Microsoft Office 2008 für Mac
• CVE-2008-1434:
  
  • Microsoft Word 2000 SP3
  • Microsoft Word 2002 SP3
  • Microsoft Word 2003 SP2
  • Microsoft Word 2003 SP3
  • Microsoft Word 2007
  • Microsoft Outlook 2007
  • Microsoft Word 2007 SP1
  • Microsoft Outlook 2007 SP1
  • Microsoft Word Viewer 2003
  • Microsoft Word Viewer 2003 SP3
  • Microsoft Office Compatibility Pack für Word, Excel und PowerPoint 2007 File Formats
  • Microsoft Office Compatibility Pack für Word, Excel und PowerPoint 2007 File Formats SP1
  • Microsoft Office 2004 für Mac
  • Microsoft Office 2008 für Mac
• CVE-2008-0119:
  
  • Microsoft Publisher 2000 SP3
  • Microsoft Publisher 2002 SP3
  • Microsoft Publisher 2003 SP2
  • Microsoft Publisher 2003 SP3
  • Microsoft Publisher 2007
  • Microsoft Publisher 2007 SP1
• CVE-2007-6026:
  Microsoft Jet 4.0 Database Engine unter
  • Microsoft Windows 2000 SP4
  • Windows XP SP2
  • Windows XP Professional x64 Edition
  • Windows Server 2003 SP1
  • Windows Server 2003 x64 Edition
  • Windows Server 2003 SP1 für Itanium-basierte Systeme
• CVE-2008-1437:
  
  • Windows Live OneCare
  • Microsoft Antigen für Exchange
  • Microsoft Antigen für SMTP Gateway
  • Microsoft Windows Defender
  • Microsoft Forefront Client Security
  • Microsoft Forefront Security für Exchange Server
  • Microsoft Forefront Security für SharePoint
  • Standalone System Sweeper im Diagnostics and Recovery Toolset 6.0
• CVE-2008-1438:
  
  • Windows Live OneCare
  • Microsoft Antigen für Exchange
  • Microsoft Antigen für SMTP Gateway
  • Microsoft Windows Defender
  • Microsoft Forefront Client Security
  • Microsoft Forefront Security für Exchange Server
  • Microsoft Forefront Security für SharePoint
  • Standalone System Sweeper im Diagnostics and Recovery Toolset 6.0

Nicht betroffene Systeme

• CVE-2008-1091:
  
  • Microsoft Works 8.0
  • Microsoft Works 8.5
  • Microsoft Works 9.0
  • Microsoft Works Suite 2005
  • Microsoft Works Suite 2006
• CVE-2008-1434:
  
• Microsoft Works 8.0
• Microsoft Works 8.5
• Microsoft Works 9.0
• Microsoft Works Suite 2005
• Microsoft Works Suite 2006
• CVE-2007-6026:
  Microsoft Jet 4.0 Database Engine unter
  • Windows XP Professional x64 Edition SP2
  • Windows XP SP3
  • Windows Server 2003 SP2
  • Windows Server 2003 x64 Edition SP2
  • Windows Server 2003 with SP2 für Itanium-basierte Systeme
  • Windows Vista und Windows Vista SP1
  • Windows Vista für x64-basierte Systeme und Windows Vista SP1 für x64-basierte Systeme
  • Windows Server 2008 für 32-bit Systeme
  • Windows Server 2008 für x64-basierte Systeme
  • Windows Server 2008 für Itanium-basierte Systeme

Einfallstor

• CVE-2008-1091:
  speziell präparierte .rtf-Datei
• CVE-2008-1434:
  speziell präparierte Word-Datei
• CVE-2008-0119:
  speziell präparierte Publisher-Datei
• CVE-2007-6026:
  Speziell präparierte Datenbankanfrage, bzw. Datenbamkdatei
• CVE-2008-1437:
  Speziell präparierte Datei zur Untersuchung durch die Microsoft Malware Protection Engine
• CVE-2008-1438:
  Speziell präparierte Datei zur Untersuchung durch die Microsoft Malware Protection Engine

Angriffsvoraussetzung

• CVE-2008-1091:
  Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechend präparierte .rtf-Datei mittels eines der betroffenen Systeme (s.o.) betrachten.
  (user interaction)
• CVE-2008-1434:
  Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechend präparierte Word-Datei mittels eines der betroffenen Systeme (s.o.) betrachten.
  (user interaction)
• CVE-2008-0119:
  Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechend präparierte Word-Datei mittels eines der betroffenen Systeme (s.o.) betrachten.
  (user interaction)
• CVE-2007-6026:
  Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechend präparierte Datenbank-Datei mittels eines der betroffenen Systeme (s.o.) betrachten.
  (user interaction)
• CVE-2008-1437:
  Möglichkeit, ein betroffenes System dazu zu bringen, eine entsprechende Datei zu untersuchen. Dies kann durch das Senden einer solchen Datei per E-Mail an ein betroffenes System erfolgen oder durch den Download über eine Webseite. In diesem Fall muss ein Benutzer eines betroffenen Systems eine solche Seite betrachten.
  (user interaction)
• CVE-2008-1438:
  Möglichkeit, ein betroffenes System dazu zu bringen, eine entsprechende Datei zu untersuchen. Dies kann durch das Senden einer solchen Datei per E-Mail an ein betroffenes System erfolgen oder durch den Download über eine Webseite. In diesem Fall muss ein Benutzer eines betroffenen Systems eine solche Seite betrachten.
  (user interaction)

Angriffsvektorklasse

• CVE-2008-1091:
  über eine Netzwerkverbindung (sofern die Datei dem Opfer per E-Mail oder über eine Webseite zugeleitet wird)
  (remote)
• CVE-2008-1434:
  über eine Netzwerkverbindung (sofern die Datei dem Opfer per E-Mail oder über eine Webseite zugeleitet wird)
  (remote)
• CVE-2008-0119:
  über eine Netzwerkverbindung (sofern die Datei dem Opfer per E-Mail oder über eine Webseite zugeleitet wird)
  (remote)
• CVE-2007-6026:
  über eine Netzwerkverbindung (sofern die Datei dem Opfer per E-Mail oder über eine Webseite zugeleitet wird)
  (remote)
• CVE-2008-1437:
  über eine Netzwerkverbindung (sofern die Datei dem betroffenen System per E-Mail oder über eine Webseite zugeleitet wird)
  (remote)
• CVE-2008-1438:
  über eine Netzwerkverbindung (sofern die Datei dem betroffenen System per E-Mail oder über eine Webseite zugeleitet wird)
  (remote)

Auswirkung

• CVE-2008-1091:
  Ausführung beliebigen Programmcodes mit den Privilegien des betrachtenden Bentutzers
  (user compromise)
• CVE-2008-1434:
  Ausführung beliebigen Programmcodes mit den Privilegien des betrachtenden Bentutzers
  (user compromise)
• CVE-2008-0119:
  Ausführung beliebigen Programmcodes mit den Privilegien des betrachtenden Bentutzers
  (user compromise)
• CVE-2007-6026:
  Ausführung beliebigen Programmcodes mit den Privilegien des betrachtenden Bentutzers
  (user compromise)
• CVE-2008-1437:
  Versetzen des beherbergenden Rechnersystems in einen unbenutzbaren Zustand
  (denial of service)
• CVE-2008-1438:
  Versetzen des beherbergenden Rechnersystems in einen unbenutzbaren Zustand
  (denial of service)

Typ der Verwundbarkeit

• CVE-2008-1091:
  nicht näher spezifizierte Speicherverwalungsschwachstelle
• CVE-2008-1434:
  nicht näher spezifizierte Speicherverwalungsschwachstelle
• CVE-2008-0119:
  unbekannt
• CVE-2007-6026:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2008-1437:
  unbekannt
• CVE-2008-1438:
  unbekannt

Gefahrenpotential

• CVE-2008-1091:
  hoch
• CVE-2008-1434:
  hoch
• CVE-2008-0119:
  hoch
• CVE-2007-6026:
  hoch
• CVE-2008-1437:
  mittel
• CVE-2008-1438:
  mittel

Beschreibung

• CVE-2008-1091:
  Eine Schwachstelle in der Speicherverwaltung, die beim Verarbeiten von Rich Text Format Dateien (RTF) in Microsoft Word und Outlook kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen. Dieser Code wird mit den Privilegien des die Applikationen aufrufenden Benutzers ausgeführt und kann zur Kompromittierung des beherbergenden Rechnersystems führen, wenn dies administrative Privilegien sind.

Zur erfolgreichen Ausnuntzung ist es erforderlich, dass das Opfer eine entsprechend präparierte Datei öffnet. Diese kann ihm z.B. in einer E-Mail-Nachricht oder über eine Webseite zugeleitet werden.

• CVE-2008-1434:
  Eine Schwachstelle in der Speicherverwaltung, die beim Verarbeiten von Cascading Stylesheets (CSS) in Word-Dateien durch Microsoft Word und Outlook kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen. Dieser Code wird mit den Privilegien des die Applikationen aufrufenden Benutzers ausgeführt und kann zur Kompromittierung des beherbergenden Rechnersystems führen, wenn dies administrative Privilegien sind.

  Zur erfolgreichen Ausnuntzung ist es erforderlich, dass das Opfer eine entsprechend präparierte Datei öffnet. Diese kann ihm z.B. in einer E-Mail-Nachricht oder über eine Webseite zugeleitet werden.

• CVE-2008-0119:
  Eine Schwachstelle in der Verarbeitung von Objektheaderdaten im Microsoft Publisher kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen. Dieser Code wird mit den Privilegien des die Applikationen aufrufenden Benutzers ausgeführt und kann zur Kompromittierung des beherbergenden Rechnersystems führen, wenn dies administrative Privilegien sind.

  Zur erfolgreichen Ausnuntzung ist es erforderlich, dass das Opfer eine entsprechend präparierte Datei öffnet. Diese kann ihm z.B. in einer E-Mail-Nachricht oder über eine Webseite zugeleitet werden.

• CVE-2007-6026:
  Eine Pufferüberlaufschwachstelle in den Routinen zur Verarbeitung von Datenbankanfragen der Microsoft Jet Database Engine (Jet) kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen. Dieser Code wird mit den Privilegien des die Applikationen aufrufenden Benutzers ausgeführt und kann zur Kompromittierung des beherbergenden Rechnersystems führen, wenn dies administrative Privilegien sind.

  Zur erfolgreichen Ausnuntzung ist es erforderlich, dass das Opfer eine entsprechend präparierte Datenbankdatei öffnet, die eine entsprechende Anfrage enthält. Diese kann ihm z.B. in einer E-Mail-Nachricht oder über eine Webseite zugeleitet werden.

• CVE-2008-1437:
  Eine nicht näher spezifizierte Schwachstelle in der Microsoft Malware Protection Engine kann von einem Angreifer dazu ausgenutzt werden, das beherbergende Rechnersystem in einen unbenutzbaren Zustand zu versetzen. Dazu ist es erforderlich, dass die Malware Protection Engine eine entsprechende Datei untersucht. Dies erfolgt mindestens immer dann, wenn eine neue Datei auf das System geladen wird. Sie kann mauell durch einen Benutzer oder beispielsweise per E-Mail oder über eine Webseite auf das betroffene System gelangen. Zumindest im ersten und im letzten Fall ist dazu die Mithilfe eine Benutzers des betroffenen Systems erforderlich.
• CVE-2008-1438:
  Eine nicht näher spezifizierte Schwachstelle in der Microsoft Malware Protection Engine kann von einem Angreifer dazu ausgenutzt werden, das beherbergende Rechnersystem in einen unbenutzbaren Zustand zu versetzen. Dazu ist es erforderlich, dass die Malware Protection Engine eine entsprechende Datei untersucht. Dies erfolgt mindestens immer dann, wenn eine neue Datei auf das System geladen wird. Sie kann mauell durch einen Benutzer oder beispielsweise per E-Mail oder über eine Webseite auf das betroffene System gelangen. Zumindest im ersten und im letzten Fall ist dazu die Mithilfe eine Benutzers des betroffenen Systems erforderlich.

Gegenmaßnahmen

• CVE-2008-1091:
  Installation der mit dem Microsoft Security Bulletin MS08-026 bereitgestellten Updates
• CVE-2008-1434:
  Installation der mit dem Microsoft Security Bulletin MS08-026 bereitgestellten Updates
• CVE-2008-0119:
  Installation der mit dem Microsoft Security Bulletin MS08-027 bereitgestellten Updates
• CVE-2007-6026:
  Installation der mit dem Microsoft Security Bulletin MS08-028 bereitgestellten Updates
• CVE-2008-1437:
  Installation der mit dem Microsoft Security Bulletin MS08-029 bereitgestellten Updates
• CVE-2008-1438:
  Installation der mit dem Microsoft Security Bulletin MS08-029 bereitgestellten Updates

Vulnerability ID

• CVE-2008-1091
• CVE-2008-1434
• CVE-2008-0119
• CVE-2007-6026
• CVE-2008-1437
• CVE-2008-1438

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/