Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1234

[MS/Windows] Patches beheben Schwachstellen in der HTML-Hilfe, dem Cursor-Handling und dem Indexing Service
(2005-01-12 17:25:22.944682+00)

Quelle: http://www.microsoft.com/technet/security/bulletin/ms05-jan.mspx

Schwachstellen im HTML-Hilfesystem, in den Routinen zur Verarbeitung von Cursor- und Iconformaten sowie im Indexing Service können von Angreifern dazu ausgenutzt werden, Programmcode mit den Privilegien der jeweiligen Prozesse auf dem beherbergenden Rechnersystem auszuführen. Microsoft stellt Patches zur Behebung dieser Schwachstellen bereit.

Betroffene Systeme

  1. CAN-2004-1043:
      Internet Explorer 6.0 unter:
    • Microsoft Windows NT Server 4.0 Service Pack 6a
    • Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
    • Microsoft Windows 2000 Service Pack 3
    • Microsoft Windows 2000 Service Pack 4
    • Microsoft Windows XP Service Pack 1
    • Microsoft Windows XP Service Pack 2
    • Microsoft Windows XP 64-Bit Edition Service Pack 1
    • Microsoft Windows XP 64-Bit Edition Version 2003
    • Microsoft Windows Server 2003
    • Microsoft Windows Server 2003 64-Bit Edition
    • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) und Microsoft Windows Millennium Edition (Me)
  2. CAN-2004-1049:
    • Microsoft Windows NT Server 4.0 Service Pack 6a
    • Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
    • Microsoft Windows 2000 Service Pack 3
    • Microsoft Windows 2000 Service Pack 4
    • Microsoft Windows XP Service Pack 1
    • Microsoft Windows XP 64-Bit Edition Service Pack 1
    • Microsoft Windows XP 64-Bit Edition Version 2003
    • Microsoft Windows Server 2003
    • Microsoft Windows Server 2003 64-Bit Edition
    • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) und Microsoft Windows Millennium Edition (Me)
  3. CAN-2004-0897:
    • Microsoft Windows 2000 Service Pack 3
    • Microsoft Windows 2000 Service Pack 4
    • Microsoft Windows XP Service Pack 1
    • Microsoft Windows XP 64-Bit Edition Service Pack 1
    • Microsoft Windows XP 64-Bit Edition Version 2003
    • Microsoft Windows Server 2003
    • Microsoft Windows Server 2003 64-Bit Edition

Nicht betroffene Systeme

  1. CAN-2004-1043:
    • Systeme, auf denen kein Internet Explorer 6.0 installiert ist
  2. CAN-2004-1049:
    • Microsoft Windows XP Service Pack 2
  3. CAN-2004-0897:
    • Microsoft Windows NT Server 4.0 Service Pack 6a
    • Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
    • Microsoft Windows XP Service Pack 2
    • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) und Microsoft Windows Millennium Edition (Me)

Einfallstor

  1. CAN-2004-1043:
    • Entsprechend formulierte Webseite oder HTML-E-Mail-Nachricht
  2. CAN-2004-1049:
    • Entsprechend formulierte Webseite oder HTML-E-Mail-Nachricht
  3. CAN-2004-0897:
    • Anfrage an den Indexing Service über ein Web-Interface (üblicherweise Port 80/tcp oder Port 443/tcp)
    • Anfrage an den Indexing Service über die Ports 137/UDP und 138/UDP sowie 139/TCP und 445/TCP

Auswirkung

  1. CAN-2004-1043:
    • Ausführung beliebigen Programmcodes mit den Privilegien des browsenden Benutzers auf dem beherbergenden Rechner über eine Netzwerkverbindung
      (remote user compromise)
  2. CAN-2004-1049:
    • Ausführung beliebigen Programmcodes mit den Privilegien des browsenden Benutzers auf dem beherbergenden Rechner über eine Netzwerkverbindung
      (remote user compromise)
    • CAN-2004-0897:
      • Ausführung beliebigen Programmcodes mit System-Privilegien auf dem beherbergenden Rechner über eine Netzwerkverbindung
        (remote system compromise)

    Mildernde Faktoren

    1. CAN-2004-1043:
      • Ein Benutzer eines verwundbaren Systems muß eine entsprechend präparierte Webseite oder HTML-E-Mail betrachten.
    2. CAN-2004-1049:
      • Ein Benutzer eines verwundbaren Systems muß eine entsprechend präparierte Webseite oder HTML-E-Mail betrachten.
    3. CAN-2004-0897:
      • Der Indexing Service ist voreingestellt nicht aktiviert
      • Sofern der Indexing Service aktiviert wird, ist er voreingestellt nicht über eine Netzwerkverbindung zugreifbar. Um dies zu ermöglichen, sind weitere Konfigurationsschritte erforderlich.
      • Sofern IIS für den Zugriff auf den Indexing Service via Web konfiguriert ist, muß ein Angreifer ggf. entsprechende Zugriffsrechte besitzen, um auf die Schnittstelle zum Indexing Server zuzugreifen. Es ist zu beachten, daß ggf. der Indexing Service direkt unter Umgehung einer etwaigen Webschnittstelle zugreifbar ist.

    Typ der Verwundbarkeit

    1. CAN-2004-1043: design flaw
    2. CAN-2004-1049: buffer overflow bug
    3. CAN-2004-0897: buffer overflow bug

    Gefahrenpotential

    1. CAN-2004-1043: hoch
    2. CAN-2004-1049: hoch
    3. CAN-2004-0897: sehr hoch

    (Hinweise zur Einstufung des Gefahrenpotentials.)

    Beschreibung

    1. CAN-2004-1043:
      • Eine bereits seit einiger Zeit bekannte Schwachstelle im Help ActiveX Control (hhctrl.ocx) des Internet Explorers bei der Darstellung von Hilfeseiten, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des browsenden Benutzers auf dem beherbergenden System auszuführen. Microsoft stellt nunmehr Patches zur Behebung dieses Problems bereit.
    2. CAN-2004-1043:
      • Eine Pufferüberlaufschwachstelle in den Routinen zur Verarbeitung von Formatdateien für Icons (.ico), Cursors (.cur) und animierte Cursors (.ani) kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des verarbeitenden Benutzers auf dem beherbergenden Rechnersystem auszuführen. Der Angreifer kann beispielsweise entprechende Dateien so in eine Webseite oder HTML-E-Mail-Nachricht einbetten, daß ihre Verarbeitung beim Betrachten angestoßen wird. Microsoft stellt nunmehr Patches zur Behebung dieses Problems bereit.
    3. CAN-2004-0897:
      • Eine Pufferüberlaufschwachstelle im Indexing Service von Windows kann dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Indexing Service auf dem beherbergenden Rechnersystem auszuführen. Dies sind im allgemeinen Systemprivilegien, weshalb eine Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems führt. Der Indexing Service ist in der Standardinstallation von Microsoft Windows nicht aktiviert. Sofern der Indexing Service aktiviert und über das Netzwerk zugreifbar ist -- was i.a. über den Internet Information Server als Webschnittstelle realisiert wird -- kann die Schwachstelle über eine Netzwerkverbindung ausgenutzt werden. Microsoft stellt nunmehr Patches zur Behebung dieses Problems bereit.

    Gegenmaßnahmen

    1. CAN-2004-1043: Installation der im Microsoft Security Bulletin MS05-001 angegebenen Patches
    2. CAN-2004-1049: Installation der im Microsoft Security Bulletin MS05-002 angegebenen Patches
    3. CAN-2004-0897: Installation der im Microsoft Security Bulletin MS05-003 angegebenen Patches

    Vulnerability ID

    1. CAN-2004-1043
    2. CAN-2004-1049
    3. CAN-2004-0897

    Exploit-Status

    1. CAN-2004-1043: Exploit Code ist verfügbar und in Umlauf
    2. CAN-2004-1049: Exploit Code ist verfügbar und in Umlauf
    3. CAN-2004-0897: Unbekannt

    (og)

    Weitere Artikel zu diesem Thema:

    Hinweis
    Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

    Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


    https://cert.uni-stuttgart.de/ticker/article.php?mid=1234