Zwei Schwachstellen im Graphics Device Interface (GDI) können von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen.

Inhalt

• Betroffene Systeme
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Beschreibung
• Workaround
• Gegenmaßnahmen
• Vulnerability ID
• Weitere Information zu diesem Thema

Betroffene Systeme

• CVE-2008-2249:
  
  • Microsoft Windows 2000 SP4
  • Windows XP Service SP2
  • Windows XP Service SP3
  • Windows XP Professional x64 Edition
  • Windows XP Professional x64 Edition SP2
  • Windows Server 2003 SP1
  • Windows Server 2003 SP2
  • Windows Server 2003 x64 Edition
  • Windows Server 2003 x64 Edition SP2
  • Windows Server 2003 für Itanium-basierte Systeme SP1
  • Windows Server 2003 für Itanium-basierte Systeme SP2
  • Windows Vista
  • Windows Vista SP1
  • Windows Vista x64 Edition
  • Windows Vista x64 Edition SP1
  • Windows Server 2008 für 32-bit Systeme
  • Windows Server 2008 für x64-basierte Systeme
  • Windows Server 2008 für Itanium-basierte Systeme
• CVE-2008-3465:
  
  • Microsoft Windows 2000 SP4
  • Windows XP Service SP2
  • Windows XP Service SP3
  • Windows XP Professional x64 Edition
  • Windows XP Professional x64 Edition SP2
  • Windows Server 2003 SP1
  • Windows Server 2003 SP2
  • Windows Server 2003 x64 Edition
  • Windows Server 2003 x64 Edition SP2
  • Windows Server 2003 für Itanium-basierte Systeme SP1
  • Windows Server 2003 für Itanium-basierte Systeme SP2
  • Windows Vista
  • Windows Vista SP1
  • Windows Vista x64 Edition
  • Windows Vista x64 Edition SP1
  • Windows Server 2008 für 32-bit Systeme
  • Windows Server 2008 für x64-basierte Systeme
  • Windows Server 2008 für Itanium-basierte Systeme

Einfallstor

• CVE-2008-2249:
  WMF Bilddatei
• CVE-2008-3465:
  WMF Vektorgrafikdatei

Angriffsvoraussetzung

• CVE-2008-2249:
  Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechende WMF-Datei zu öffnen. Eine solche Datei kann dem Opfer z.B. mittels einer E-Mail-Nachricht oder einer Webseite zugeleitet werden.
  (user interaction)
• CVE-2008-3465:
  Drittanbieteranwendung - Applikation, die die GDI API verwendet, um eine entsprechende WMF-Datei zu kopieren.
  (third party applikation)

Angriffsvektorklasse

• CVE-2008-2249:
  über eine Netzwerkverbindung (sofern die Datei dem Anwender über das Netz zugeleitet wird, s.o.)
  (remote)
• CVE-2008-3465:
  über eine Netzwerkverbindung (sofern die Datei dem Anwender über das Netz zugeleitet wird, s.o und dieser sie mit einer betroffenen Applikation verarbeitet, die die Datei kopiert.)
  (remote)

Auswirkung

• CVE-2008-2249:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des die Datei betrachtenden Benutzers
  (user compromise)
• CVE-2008-3465:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des die entsprechende Applikation öffnenden Benutzers
  (user compromise)
  

Typ der Verwundbarkeit

• CVE-2008-2249:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2008-3465:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)

Gefahrenpotential

• CVE-2008-2249:
  hoch
• CVE-2008-3465:
  hoch

Beschreibung

• CVE-2008-2249:
  

  Eine Pufferüberlaufschwachstelle in den Routinen der Graphics Device Interface (GDI) zur Verarbeitung von WMF-Bilddatei kann dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Betriebssystem auszuführen. Der Code wird dabei mit den Privilegien des die WMF-Datei öffnenden Benutzers ausgeführt. Besitzt der Benutzer administrative Privilegien, so führt die erfolgreiche Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Systems

  Um die Schwachstelle erfolgreich ausnutzen zu können, muss der Angreifer einen Benutzer eines betroffenen Systems dazu bewegen, eine entsprechend präparierte WMF-Datei zu öffnen. Diese kann dem Opfer z.B. mittels einer E-Mail-Nachricht oder über eine Webseite zugeleitet werden.

• CVE-2008-3465:
  

  Die Schwachstelle tritt in der GDIAPI auf, die von Applikationen Dritter verwendent werden kann, um WMF-Dateien zu verarbeiten. Beim Kopieren einer präparierten WMF-Bilddatei über Funktionen der betroffenen API tritt ein Pufferüberlauf auf, der in der Folge dazu ausgenutzt werden kann, beliebigen Programmcode auf dem beherbergenden Betriebssystem auszuführen. Der Code wird dabei mit den Privilegien des die WMF-Datei öffnenden Benutzers ausgeführt. Besitzt der Benutzer administrative Privilegien, so führt die erfolgreiche Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Systems

  Um die Schwachstelle erfolgreich ausnutzen zu können, muss der Angreifer einen Benutzer eines betroffenen Systems dazu bewegen, eine entsprechend präparierte WMF-Datei mit einer Applikation zu öffnen, die die WMF API verwendet. Die Datei kann dem Opfer z.B. mittels einer E-Mail-Nachricht oder über eine Webseite zugeleitet werden.

Workaround

• CVE-2008-2249:
  
  • Abschalten der Metafile-Verarbeitung
  • Lesen von E-Mail-Nachrichten im Plain Text Format
    Diese Maßnahme ist unabhängig von dieser Schwachstelle sehr empfehlenswert, da sie die Bedrohungen, die einen Benutzer über den Kanal der elektonischen Post erreichen drastisch reduziert!
• CVE-2008-3465:
  
  • Abschalten der Metafile-Verarbeitung

Gegenmaßnahmen

• CVE-2008-2249:
  Installation der mit dem Microsoft Security Bulletin MS08-071 bereitgestellten Patches bzw. Updates
• CVE-2008-3465:
  Installation der mit dem Microsoft Security Bulletin MS08-071 bereitgestellten Patches bzw. Updates

Vulnerability ID

• CVE-2008-2249
• CVE-2008-3465

Weitere Information zu diesem Thema

• CVE-2008-2249:
  iDefense Security Advisory 12.09.08: Microsoft Windows Graphics Device Interface Integer Overflow Vulnerability

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/