RUS-CERT-1593 – Archivierte Meldung

Meldung Nr: RUS-CERT-1593

[MS/IE] Schwachstelle im Internet Explorer und in Visual Studio
(2009-07-29 08:05:38.022512+00)

Quelle: http://www.microsoft.com/technet/security/advisory/973882.mspx

Im Rahmen des Microsoft Security Advisory (973882), das außerhalb des üblichen Zyklus veröffentlicht wird, stellt Microsoft Patches für den Internet Explorer und Visual Studio bereit. Die Schwachstellen betreffen die Microsoft Active Template Library (ATL), die im Lieferumfang von Visual Studio enthalten sind und zur Erstellung und Nutzung von COM-Komponenten einschließlich ActiveX-Steuerelementen dienen. Die Patches sind zur Behebung der Schwachstellen an der Wurzel (ATL bz. Visual Studio) als auch beim Hauptnutzer (IE) vorgesehen.

Zusammenfassung

CVE-2009-1917:

Betroffen:	Internet Explorer (IE) 5.01 bis einschließlich 8
Plattform:	Microsoft Windows 2000 bis einschließlich Server 2008
Nicht betroffen:	IE 8 unter Windows 7
Einfallstor:	ActiveX-Control über eine Webseite
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	ja
Gegenmaßnahmen:	Update
Vulnerability ID:	CVE-2009-1917

CVE-2009-1918:

Betroffen:	Internet Explorer (IE) 5.01 bis einschließlich 8
Plattform:	Microsoft Windows 2000 bis einschließlich Server 2008
Nicht betroffen:	IE 8 unter Windows 7
Einfallstor:	HTML-Code
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	ja
Gegenmaßnahmen:	Update
Vulnerability ID:	CVE-2009-1918

CVE-2009-1919:

Betroffen:	Internet Explorer (IE) 5.01 bis einschließlich 8
Plattform:	Microsoft Windows 2000 bis einschließlich Server 2008
Nicht betroffen:	IE 8 unter Windows 7
Einfallstor:	ActiveX-Control über eine Webseite
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	ja
Gegenmaßnahmen:	Update
Vulnerability ID:	CVE-2009-1919

CVE-2009-0901:

Betroffen:	Microsoft Visual Studio
Plattform:	Microsoft Windows
Einfallstor:	ActiveX-Control über eine Webseite
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	ja
Gegenmaßnahmen:	Update
Vulnerability ID:	CVE-2009-0901

CVE-2009-2493:

Betroffen:	Microsoft Visual Studio
Plattform:	Microsoft Windows
Einfallstor:	ActiveX-Control über eine Webseite
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	ja
Gegenmaßnahmen:	Update
Vulnerability ID:	CVE-2009-2493

CVE-2009-2495:

Betroffen:	Microsoft Visual Studio
Plattform:	Microsoft Windows
Einfallstor:	ActiveX-Control über eine Webseite
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	information leak
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	ja
Gegenmaßnahmen:	Update
Vulnerability ID:	CVE-2009-2495

CVE-2008-0015:
Referenz: Schwachstelle wurde bereits in RUS-CERT-1586 beschrieben
Vulnerability ID: CVE-2008-0015

Betroffene Systeme

CVE-2009-1917:
- Internet Explorer 5.01
- Internet Explorer 6
- Internet Explorer 6 SP1
- Internet Explorer 7
- Internet Explorer 8
CVE-2009-1918:
- Internet Explorer 5.01
- Internet Explorer 6
- Internet Explorer 6 SP1
- Internet Explorer 7
- Internet Explorer 8
CVE-2009-1919:
- Internet Explorer 5.01
- Internet Explorer 6
- Internet Explorer 6 SP1
- Internet Explorer 7
- Internet Explorer 8
CVE-2009-0901:
- Microsoft Visual Studio .NET 2003 SP1
- Microsoft Visual Studio 2005 SP1
- Microsoft Visual Studio 2005 SP1 64-bit Hosted Visual C++ Tools
- Microsoft Visual Studio 2008
- Microsoft Visual Studio 2008 SP1
- Microsoft Visual C++ 2005 SP1 Redistributable Package
- Microsoft Visual C++ 2008 Redistributable Package
- Microsoft Visual C++ 2008 SP1 Redistributable Package
CVE-2009-2493:
- Microsoft Visual Studio .NET 2003 SP1
- Microsoft Visual Studio 2005 SP1
- Microsoft Visual Studio 2005 SP1 64-bit Hosted Visual C++ Tools
- Microsoft Visual Studio 2008
- Microsoft Visual Studio 2008 SP1
- Microsoft Visual C++ 2005 SP1 Redistributable Package
- Microsoft Visual C++ 2008 Redistributable Package
- Microsoft Visual C++ 2008 SP1 Redistributable Package
CVE-2009-2495:
- Microsoft Visual Studio .NET 2003 SP1
- Microsoft Visual Studio 2005 SP1
- Microsoft Visual Studio 2005 SP1 64-bit Hosted Visual C++ Tools
- Microsoft Visual Studio 2008
- Microsoft Visual Studio 2008 SP1
- Microsoft Visual C++ 2005 SP1 Redistributable Package
- Microsoft Visual C++ 2008 Redistributable Package
- Microsoft Visual C++ 2008 SP1 Redistributable Package

Nicht betroffene Systeme

CVE-2009-1917:
- Internet Explorer 8 unter Windows 7 für 32-Bit-Systeme
- Internet Explorer 8 unter Windows 7 für x64-basierte Systeme
- Internet Explorer 8 unter Windows 7 für Itanium-basierte Systeme
CVE-2009-1918:
- Internet Explorer 8 unter Windows 7 für 32-Bit-Systeme
- Internet Explorer 8 unter Windows 7 für x64-basierte Systeme
- Internet Explorer 8 unter Windows 7 für Itanium-basierte Systeme
CVE-2009-1919:
- Internet Explorer 8 unter Windows 7 für 32-Bit-Systeme
- Internet Explorer 8 unter Windows 7 für x64-basierte Systeme
- Internet Explorer 8 unter Windows 7 für Itanium-basierte Systeme

Plattform

CVE-2009-1917:
- Microsoft Windows 2000 SP4
- Microsoft Windows XP Service SP2
- Microsoft Windows XP Service SP3
- Microsoft Windows XP Professional x64 Edition SP2
- Microsoft Windows Server 2003 SP2
- Microsoft Windows Server 2003 x64 Edition SP2
- Microsoft Windows Server 2003 für Itanium-basierte Systeme SP2
- Microsoft Windows Vista
- Microsoft Windows Vista SP1
- Microsoft Windows Vista SP2
- Microsoft Windows Vista x64 Edition
- Microsoft Windows Vista x64 Edition SP1
- Microsoft Windows Vista x64 Edition SP2
- Microsoft Windows Server 2008 für 32-bit Systeme
- Microsoft Windows Server 2008 für 32-bit Systeme SP2
- Microsoft Windows Server 2008 für x64-basierte Systeme
- Microsoft Windows Server 2008 für x64-basierte Systeme SP2
- Microsoft Windows Server 2008 für Itanium-basierte System
- Microsoft Windows Server 2008 für Itanium-basierte System SP2
CVE-2009-1918:
- Microsoft Windows 2000 SP4
- Microsoft Windows XP Service SP2
- Microsoft Windows XP Service SP3
- Microsoft Windows XP Professional x64 Edition SP2
- Microsoft Windows Server 2003 SP2
- Microsoft Windows Server 2003 x64 Edition SP2
- Microsoft Windows Server 2003 für Itanium-basierte Systeme SP2
- Microsoft Windows Vista
- Microsoft Windows Vista SP1
- Microsoft Windows Vista SP2
- Microsoft Windows Vista x64 Edition
- Microsoft Windows Vista x64 Edition SP1
- Microsoft Windows Vista x64 Edition SP2
- Microsoft Windows Server 2008 für 32-bit Systeme
- Microsoft Windows Server 2008 für 32-bit Systeme SP2
- Microsoft Windows Server 2008 für x64-basierte Systeme
- Microsoft Windows Server 2008 für x64-basierte Systeme SP2
- Microsoft Windows Server 2008 für Itanium-basierte System
- Microsoft Windows Server 2008 für Itanium-basierte System SP2
CVE-2009-1919:
- Microsoft Windows 2000 SP4
- Microsoft Windows XP Service SP2
- Microsoft Windows XP Service SP3
- Microsoft Windows XP Professional x64 Edition SP2
- Microsoft Windows Server 2003 SP2
- Microsoft Windows Server 2003 x64 Edition SP2
- Microsoft Windows Server 2003 für Itanium-basierte Systeme SP2
- Microsoft Windows Vista
- Microsoft Windows Vista SP1
- Microsoft Windows Vista SP2
- Microsoft Windows Vista x64 Edition
- Microsoft Windows Vista x64 Edition SP1
- Microsoft Windows Vista x64 Edition SP2
- Microsoft Windows Server 2008 für 32-bit Systeme
- Microsoft Windows Server 2008 für 32-bit Systeme SP2
- Microsoft Windows Server 2008 für x64-basierte Systeme
- Microsoft Windows Server 2008 für x64-basierte Systeme SP2
- Microsoft Windows Server 2008 für Itanium-basierte System
- Microsoft Windows Server 2008 für Itanium-basierte System SP2
CVE-2009-0901:
- Microsoft Windows XP Service SP2
- Microsoft Windows XP Service SP3
- Microsoft Windows XP Professional x64 Edition SP2
- Microsoft Windows Server 2003 SP2
- Microsoft Windows Server 2003 x64 Edition SP2
- Microsoft Windows Server 2003 für Itanium-basierte Systeme SP2
- Microsoft Windows Vista
- Microsoft Windows Vista SP1
- Microsoft Windows Vista SP2
- Microsoft Windows Vista x64 Edition
- Microsoft Windows Vista x64 Edition SP1
- Microsoft Windows Vista x64 Edition SP2
- Microsoft Windows Server 2008 für 32-bit Systeme
- Microsoft Windows Server 2008 für 32-bit Systeme SP2
- Microsoft Windows Server 2008 für x64-basierte Systeme
- Microsoft Windows Server 2008 für x64-basierte Systeme SP2
- Microsoft Windows Server 2008 für Itanium-basierte System
- Microsoft Windows Server 2008 für Itanium-basierte System SP2
CVE-2009-2493:
- Microsoft Windows XP Service SP2
- Microsoft Windows XP Service SP3
- Microsoft Windows XP Professional x64 Edition SP2
- Microsoft Windows Server 2003 SP2
- Microsoft Windows Server 2003 x64 Edition SP2
- Microsoft Windows Server 2003 für Itanium-basierte Systeme SP2
- Microsoft Windows Vista
- Microsoft Windows Vista SP1
- Microsoft Windows Vista SP2
- Microsoft Windows Vista x64 Edition
- Microsoft Windows Vista x64 Edition SP1
- Microsoft Windows Vista x64 Edition SP2
- Microsoft Windows Server 2008 für 32-bit Systeme
- Microsoft Windows Server 2008 für 32-bit Systeme SP2
- Microsoft Windows Server 2008 für x64-basierte Systeme
- Microsoft Windows Server 2008 für x64-basierte Systeme SP2
- Microsoft Windows Server 2008 für Itanium-basierte System
- Microsoft Windows Server 2008 für Itanium-basierte System SP2
CVE-2009-2495:
- Microsoft Windows XP Service SP2
- Microsoft Windows XP Service SP3
- Microsoft Windows XP Professional x64 Edition SP2
- Microsoft Windows Server 2003 SP2
- Microsoft Windows Server 2003 x64 Edition SP2
- Microsoft Windows Server 2003 für Itanium-basierte Systeme SP2
- Microsoft Windows Vista
- Microsoft Windows Vista SP1
- Microsoft Windows Vista SP2
- Microsoft Windows Vista x64 Edition
- Microsoft Windows Vista x64 Edition SP1
- Microsoft Windows Vista x64 Edition SP2
- Microsoft Windows Server 2008 für 32-bit Systeme
- Microsoft Windows Server 2008 für 32-bit Systeme SP2
- Microsoft Windows Server 2008 für x64-basierte Systeme
- Microsoft Windows Server 2008 für x64-basierte Systeme SP2
- Microsoft Windows Server 2008 für Itanium-basierte System
- Microsoft Windows Server 2008 für Itanium-basierte System SP2

Kontext

Die im Rahmen des Microsoft Security Advisory (973882), das außerhalb des üblichen Zyklus veröffentlicht wird, bereitgestellten Updates beheben Schwachstellen in der Microsoft Active Template Library (ATL), die zur Erstellung und Nutzung von COM-Komponenten einschließlich ActiveX-Steuerelementen dienen. Die Bibliothek ist im Lieferumfang von Visual Studio C++ enthalten.

Die bereitgestellten Updates für Visual Studio C++ sollen die Schwachstellen für neu zu erstellende Software bereinigen, bzw. den Entwicklern die Möglichkeit geben, sie aus Ihren Produkten durch Neuübersetzung mittels der Bereinigten Entwicklungsumgebung zu tilgen.

Um gleichzeitig den wichtigsten "Nutzer" der COM-Architektur in webbasierten Anwendungen zu schützen, stellt Microsoft Updates für den Internet Explorer zur Verfügung.

Workaround

CVE-2009-1917:
Anwendung der im Microsoft Security Bulletin MS09-034 in der Sektion Workarounds für die Schwachstelle CVE-2009-1917 empfohlenen Maßnahmen
CVE-2009-1918:
Anwendung der im Microsoft Security Bulletin MS09-034 in der Sektion Workarounds für die Schwachstelle CVE-2009-1918 empfohlenen Maßnahmen
CVE-2009-1919:
Anwendung der im Microsoft Security Bulletin MS09-034 in der Sektion Workarounds für die Schwachstelle CVE-2009-1919 empfohlenen Maßnahmen
CVE-2009-0901:
Anwendung der im Microsoft Security Bulletin MS09-035 in der Sektion Workarounds für die Schwachstelle CVE-2009-0901 empfohlenen Maßnahmen
CVE-2009-2493:
Anwendung der im Microsoft Security Bulletin MS09-035 in der Sektion Workarounds für die Schwachstelle CVE-2009-2493 empfohlenen Maßnahmen
CVE-2009-2495:
Anwendung der im Microsoft Security Bulletin MS09-035 in der Sektion Workarounds für die Schwachstelle CVE-2009-2495 empfohlenen Maßnahmen

Gegenmaßnahmen

CVE-2009-1917:
Installation der im Microsoft Security Bulletin MS09-034 in der Sektion "Security Update Deployment" bereitgestellten Patches bzw. Updates
CVE-2009-1918:
Installation der im Microsoft Security Bulletin MS09-034 in der Sektion "Security Update Deployment" bereitgestellten Patches bzw. Updates
CVE-2009-1919:
Installation der im Microsoft Security Bulletin MS09-034 in der Sektion "Security Update Deployment" bereitgestellten Patches bzw. Updates
CVE-2009-0901:
Installation der im Microsoft Security Bulletin MS09-035 in der Sektion "Security Update Deployment" bereitgestellten Patches bzw. Updates
CVE-2009-2493:
Installation der im Microsoft Security Bulletin MS09-035 in der Sektion "Security Update Deployment" bereitgestellten Patches bzw. Updates
CVE-2009-2495:
Installation der im Microsoft Security Bulletin MS09-035 in der Sektion "Security Update Deployment" bereitgestellten Patches bzw. Updates

Vulnerability ID

Weitere Artikel zu diesem Thema:

[MS/Windows] Microsoft stellt Patches für insgesamt 19 Schwachstellen bereit (2009-08-11)
Im Rahmen seines Security Bulletin Summary for August 2009 stellt Microsoft Patches für insgesamt 19 Schwachstellen bereit. Die Schwachstellen betreffen Microsoft Windows, die Office Web Components, Routinen zur Verarbeitung von Mediendateien, Remote Desktop Connection, die Active Template Library, den Wirkstation Service, das Message Queuing, ASP.NET und die Telnet-Implementierung. Die Schwachstellen ermöglichen Angreifern zum großen Teil die Ausführung beliebigen Programmcodes auf dem beherbergenden System, weshalb die Installation der bereitgestellten Updates dringend empfohlen wird.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=1593

Referenz:	Schwachstelle wurde bereits in RUS-CERT-1586 beschrieben
Vulnerability ID:	CVE-2008-0015