Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1155

[MS/Windows] Mehrere Patches beheben mehrere teilweise kritische Probleme
(2003-10-20 11:35:43.959154+00)

Quelle: http://www.microsoft.com/security/security_bulletins/20031015_windows.asp

Microsoft hat fünf neue Bulletins herausgegeben, in denen Patches zur Behebung von teils kritischen Problemen zur Verfügung gestellt werden. Die Installation der Patches wird dringend empfohlen.

Betroffene Systeme

    • Windows NT 4.0
    • Windows Server NT 4.0 Terminal Server Edition
    • Windows 2000
    • Windows XP
    • Windows Server 2003
    • Microsoft Windows 2000
    • Windows NT 4.0
    • Windows Server NT 4.0 Terminal Server Edition
    • Windows 2000
    • Windows XP
    • Windows Server 2003
    • Windows XP
    • Windows Server 2003
    • Windows Millennium Edition (nur theoretisch)
    • Windows NT 4.0 (nur theoretisch)
    • Windows Server NT 4.0 Terminal Server Edition (nur theoretisch)
    • Windows 2000 (nur theoretisch)
    • Windows NT 4.0
    • Windows Server NT 4.0 Terminal Server Edition
    • Windows 2000
    • Windows XP
    • Windows Server 2003

Einfallstor

  1. ActiveX-Control über
    • eine HTML-Seite eines Webservers
    • eine HTML-E-Mail-Nachricht
    • ein beliebiges Dokument, das ensprechenden HTML-Code enthält
  2. Referenz auf das Local Troubleshooter ActiveX Control über
    • eine HTML-Seite eines Webservers
    • eine HTML-E-Mail-Nachricht
    • ein beliebiges Dokument, das ensprechenden HTML-Code enthält
  3. Empfang einer Messenger Service Nachricht (TCP/UDP-Ports 137-139)
  4. Speziell formulierter URL, der das lokale Hilfesystem referenziert über
    • eine HTML-Seite eines Webservers
    • eine HTML-E-Mail-Nachricht
    • ein beliebiges Dokument, das ensprechenden HTML-Code enthält
  5. Ausführung von Funktionen der User32.dll-Bibliothek
    (Programme die ListBox oder ComboBox verwenden)

Auswirkung

  1. Ausführung beliebigen Programmcodes mit den Privilegien eines das HTML-Dokument betrachtenden Benutzers
    (remote user compromise)
  2. Ausführung beliebigen Programmcodes mit den Privilegien eines das HTML-Dokument betrachtenden Benutzers
    (remote user compromise)
  3. Kompromittierung des beherbergenden Rechnersystems über eine Netzwerkverbindung
    (remote root compromise)
  4. Ausführung beliebigen Programmcodes im lokalen Sicherheitskontext des beherbergenden Rechnersystems
    (entspr. etwa einem remote root compromise)
  5. Ausführung beliebigen Programmcodes mit den Privilegien des aufrufenden Prozesses
    (u. U. local root compromise)

Typ der Verwundbarkeit

  1. unbekannt
  2. buffer overflow bug
  3. buffer overflow bug
  4. buffer overflow bug
  5. buffer overflow bug

Gefahrenpotential

  1. hoch
  2. hoch
  3. sehr hoch
  4. sehr hoch (für Windows XP und 2003)
  5. mittel bis hoch

Beschreibung
Vor allem die im Bulletin MS03-043 beschriebene Schwachstelle (3.) ist als kritisch einzustufen. Die Installation aller verfügbaren Patches ist dringend empfohlen.

  1. Das Bulletin MS03-041 beschreibt ein Problem in der Authenticode Verifizierung u.a. von ActiveX-Controls. Beim Betrachten einer speziell formulierten HTML-Seite, die ein entsprechendes ActiveX-Control enthält, kann es unter bestimmten Bedingungen (nicht ausreichend freier Speicher) dazu kommen, daß dieses vom System fälschlicherweise (ohne Bestätigung durch den Benutzer) als vertrauenswürdig eingestuft und ausgeführt wird. Dieser Umstand kann von einem Angreifer dazu ausgenutzt werden, über ein ActiveX-Control beliebigen Programmcode auf dem beherbergenden Rechnersystem mit den Privilegien des betrachtenden Benutzers zu installieren und auszuführen.
  2. Das Bulletin MS03-042 beschreibt eine Pufferüberlaufschwachstelle im Local Troubleshooter ActiveX control. Beim Betrachten einer speziell formulierten HTML-Seite, die dieses Control referenziert, kann ein Pufferüberlauf provoziert und beiliebiger Programmcode mit den Privilegien des betrachtenden Benutzers auf dem beherbergenden Rechnersystem ausgeführt werden.
  3. Das Bulletin MS03-043 beschreibt ein Problem im Messenger Service. Die Verarbeitungsroutinen überprüfen die Länge einer Nachricht nicht immer korrekt, was dazu führen kann, daß der reservierte Puffer bei der Verarbeitung der Nachricht überläuft. Dieser Umstand kann von einem Angreifer durch das Senden einer speziell formulierten Nachricht dazu ausgenutzt werden, beliebigen Programmcode mit SYSTEM-Privilegien auf dem beherbergen System auszuführen.
  4. Das Bulletin MS03-044 beschreibt eine Pufferüberlaufschwachstelle im Help and Support Center für Windows XP und 2003. Beim Besuchen eines speziell formulierten URLs, der das Hilfesystem referenziert, kann ein Pufferüberlauf provoziert werden, der dazu ausgenutzt werden kann, beliebigen Programmcode im lokalen Sicherheitskontext des beherbergenden Rechnersystems auszuführen.
  5. Das Bulletin MS03-045 beschreibt eine Pufferüberlaufschwachstelle in einer Funktion der User32.dll-Bibliothek, die dazu ausgenutzt werden kann, beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen.
    Verschiedene Applikationen benutzen diese Bibliothek und sind daher potentiell verwundbar. Ein Angreifer mit interaktivem Zugang zum beherbergenden Rechnersystem kann diese Schwachstelle dazu ausnutzen, beliebigen Programmcode mit den Privilegien des aufrufenden Prozesses auf diesem auszuführen.

Gegenmaßnahmen

  1. Installation der im Microsoft Security Bulletin MS03-041 beschriebenen Patches
  2. Installation der im Microsoft Security Bulletin MS03-042 beschriebenen Patches
  3. Installation der im Microsoft Security Bulletin MS03-043 beschriebenen Patches
  4. Installation der im Microsoft Security Bulletin MS03-044 beschriebenen Patches
  5. Installation der im Microsoft Security Bulletin MS03-045 beschriebenen Patches

Vulnerability ID

  1. CAN-2003-0660
  2. CAN-2003-0662
  3. CAN-2003-0717
  4. CAN-2003-0711
  5. CAN-2003-0659

Weitere Information zu diesem Thema

  1. Microsoft Security Bulletin MS03-041: Sicherheitsanfälligkeit in Authenticode-Überprüfung kann Remotecodeausführung ermöglichen (823182) (dt. Version)
  2. Microsoft Security Bulletin MS03-042: Pufferüberlauf im ActiveX-Steuerelement der Windows-Problembehandlungkann Codeausführung ermöglichen (826232) (dt. Version)
  3. Microsoft Security Bulletin MS03-043: Pufferüberlauf im Nachrichtendienst kann Codeausführung ermöglichen (828035) (dt. Version)
  4. Microsoft Security Article MS03-044: Pufferüberlauf im Hilfe- und Supportcenter von Windows könnte zu Systembeschädigung führen (825119) (dt. Version)
  5. Microsoft Security Bulletin MS03-045: Pufferüberlauf in den Steuerelementen "ListBox" und "ComboBox" kann Codeausführung ermöglichen (824141) (dt. Version)

Revisionen dieser Meldung

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1155