Im Rahmen seines Security Bulletin Summary for May 2010 stellt Microsoft Patches für zwei Schwachstellen bereit. Die Schwachstellen betreffen Microsoft Outlook Express, den Microsoft Windows Mail sowie Microsoft Visual Basic for Applications. Die Schwachstellen erlauben zum großen Teil die Ausführung beliebigen Programmcodes auf dem beherbergenden System, weshalb die Installation der bereitgestellten Updates dringend empfohlen wird.

Inhalt

• Zusammenfassung
• Betroffene Systeme
• Plattform
• Nicht betroffene Systeme
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Beschreibung
• Workaround
• Gegenmaßnahmen
• Vulnerability ID

Zusammenfassung

• CVE-2010-0816:
  

  Betroffen:	Microsoft Outlook Express 5.5 SP2, Outlook Express 6 SP1, Microsoft Live Mail, Microsoft Mail
  Plattform:	Microsoft Windows 2000 SP4, Windows XP SP2 und SP3, Windows XP Pro x64 SP2, Windows Server 2003 SP2, Windows Server 2003 x64 SP2, Windows Server 2003 Itanium SP2, Windows Vista SP1 und SP2, Windows Vista x64 SP1 und SP2, Windows Server 2008 32bit, Windows Server 2008 32bit SP2, Windows Server 2008 x64, Windows Server 2008 x64 SP2, Windows Server 2008 Itanium, Windows Server 2008 Itanium SP2, Windows 7 32Bit, Windows 7 x64, Windows Server 2008 R2 x64, Windows Server 2008 R2 Itanium
  Einfallstor:	POP3 (Port 110/tcp) sowie IMAP4 (Port 143/tcp)
  Angriffsvoraussetzung:	Benutzerinteraktion
  Angriffsvektorklasse:	remote
  Auswirkung:	system compromise
  Typ:	Speicherverletzung
  Gefahrenpotential:	sehr hoch
  Workaround:	bedingt
  Gegenmaßnahmen:	neue Version
  MS Bulletin ID:	MS10-030
  Vulnerability ID:	CVE-2010-0816

• CVE-2010-0815:
  

  Betroffen:	Microsoft Visual Basic for Applications, Microsoft Visual Basic for Applications SDK, Microsoft Office XP SP3, Microsoft Office 2003 SP3, 2007 Microsoft Office System SP1, 2007 Microsoft Office System SP2
  Nicht betroffen:	Microsoft Office 2010 32Bit, Microsoft Office 2010 64Bit, Microsoft Office 2004 for Mac, Microsoft Office 2008 for Mac, Microsoft Office Excel Viewer SP1, Microsoft Office Excel Viewer SP2, Microsoft Office Word Viewer SP1, Microsoft Office Word Viewer SP2, Microsoft Office PowerPoint Viewer 2007 SP1, Microsoft Office PowerPoint Viewer 2007 SP2, Microsoft Office Visio Viewer 2007 SP1, Microsoft Office Visio Viewer 2007 SP2, Microsoft Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate SP1, Microsoft Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate SP2
  Einfallstor:	Office-Dokument, das Visual Basic enthaelt
  Angriffsvoraussetzung:	Benutzerinteraktion
  Angriffsvektorklasse:	remote
  Auswirkung:	user compromise
  Typ:	Speicherverletzung
  Gefahrenpotential:	hoch
  Workaround:	ja
  Gegenmaßnahmen:	neue Version
  MS Bulletin ID:	MS10-031
  Vulnerability ID:	CVE-2010-0815

Betroffene Systeme

• CVE-2010-0816:
  
  • Microsoft Outlook Express 5.5 SP2
  • Outlook Express 6 SP1
  • Microsoft Live Mail
  • Microsoft Mail
• CVE-2010-0815:
  
  • Microsoft Visual Basic for Applications
  • Microsoft Visual Basic for Applications SDK
  • Microsoft Office XP SP3
  • Microsoft Office 2003 SP3
  • 2007 Microsoft Office System SP1
  • 2007 Microsoft Office System SP2

Nicht betroffene Systeme

• CVE-2010-0815:
  
  • Microsoft Office 2010 32Bit
  • Microsoft Office 2010 64Bit
  • Microsoft Office 2004 for Mac
  • Microsoft Office 2008 for Mac
  • Microsoft Office Excel Viewer SP1
  • Microsoft Office Excel Viewer SP2
  • Microsoft Office Word Viewer SP1
  • Microsoft Office Word Viewer SP2
  • Microsoft Office PowerPoint Viewer 2007 SP1
  • Microsoft Office PowerPoint Viewer 2007 SP2
  • Microsoft Office Visio Viewer 2007 SP1
  • Microsoft Office Visio Viewer 2007 SP2
  • Microsoft Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate SP1
  • Microsoft Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate SP2

Plattform

• CVE-2010-0816:
  
  • Microsoft Windows 2000 SP4
  • Microsoft Windows XP SP2 und SP3
  • Microsoft Windows XP Pro x64 SP2
  • Microsoft Windows Server 2003 SP2
  • Microsoft Windows Server 2003 x64 SP2
  • Microsoft Windows Server 2003 Itanium SP2
  • Microsoft Windows Vista SP1 und SP2
  • Microsoft Windows Vista x64 SP1 und SP2
  • Microsoft Windows Server 2008 32bit
  • Microsoft Windows Server 2008 32bit SP2
  • Microsoft Windows Server 2008 x64
  • Microsoft Windows Server 2008 x64 SP2
  • Microsoft Windows Server 2008 Itanium
  • Microsoft Windows Server 2008 Itanium SP2
  • Microsoft Windows 7 32Bit
  • Microsoft Windows 7 x64
  • Microsoft Windows Server 2008 R2 x64
  • Microsoft Windows Server 2008 R2 Itanium

Einfallstor

• CVE-2010-0816:
  
  • POP3 (Port 110/tcp)
  • IMAP (Port 143/tcp)
• CVE-2010-0815:
  Microsoft Office-Dokument, das Visual Basic for Applications Code enthält

Angriffsvoraussetzung

• CVE-2010-0816:
  Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, mittels IMAP oder POP3 auf einen Mailserver zuzugreifen, der eine entsprechend präparierte IMAP4- bzw POP3-Antwort schickt.
  (user interaction)
• CVE-2010-0815:
  Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss ein Microsoft Office-Dokument öffnen, das entsprechend präparierten Visual Basic for Applications Code enthält. Dieses kann ihm z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden.
  (user interaction)

Angriffsvektorklasse

• CVE-2010-0816:
  über eine Netzwerkverbindung
  (remote)
• CVE-2010-0815:
  über eine Netzwerkverbindung
  (remote)

Auswirkung

• CVE-2010-0816:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System mit administrativen Privilegien
  (system compromise)
• CVE-2010-0815:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System
  (user compromise)

Typ der Verwundbarkeit

• CVE-2010-0816:
  Speicherverletzung
  (memory corruption)
• CVE-2010-0815:
  Speicherverletzung
  (memory corruption)

Gefahrenpotential

• CVE-2010-0816:
  sehr hoch
• CVE-2010-0815:
  hoch

Beschreibung

• CVE-2010-0816:
  

  Eine Pufferüberlaufschwachstelle in Microsoft Outlook Express Windows Live Mail und Windows Mail der o.g. Versionen, die bei der Verarbeitung speziell präparierter POP3- bzw. IMAP4-Antworten auftritt, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Der Code wird dabei mit administrativen Privilegien ausgeführt, weshalb die erfolgreiche Ausnutzung dieser Schwachstelle unmittelbar zur Kompromittierung des beherbergenden Systems führt.

  Um die Schwachstelle erfolgreich ausnutzen zu können, ist es erforderlich, dass der Angreifer einen Benutzer eines betroffenen Systems dazu veranlasst, mit einem Server per POP3 bzw. IPAM4 Kontakt aufzunehmen, der entsprechende Antworten sendet. Im Regelfall wird der Angreifer diesen Server unter seiner Kontrolle haben müssen, um dies bewerkstelligen zu können.

• CVE-2010-0815:
  

  Eine Pufferüberlaufschwachstelle in der Visual Basic for Applications Engine, die VBA-Code in Microsoft Office-Dokumenten verarbeitet, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der die entsprechende Office-Applikation gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

  Um die Schwachstelle erfolgreich ausnutzen zu können, ist es erforderlich, dass der Angreifer einen Benutzer eines betroffenen Systems dazu veranlasst, ein entsprechendes Office-Dokument zu öffnen. Dieses kann ihm z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden.

Workaround

• CVE-2010-0816:
  Vermeidung der Benutzung von POP3 bzw. IMAP zur Verwaltung bzw. Abholung der E-Mail-Nachrichten auf, bzw. vom Mailserver.
• CVE-2010-0815:
  Anwendung der im Microsoft Security Bulletin MS10-031 empfohlenen Workarounds.

Gegenmaßnahmen

• CVE-2010-0816:
  Installation der mit dem Microsoft Security Bulletin MS10-030 bereitgestellten Patches.
• CVE-2010-0815:
  Installation der mit dem Microsoft Security Bulletin MS10-031 bereitgestellten Patches.

Vulnerability ID

• CVE-2010-0816
• CVE-2010-0815

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/