computerwoche.de

Web

Microsoft warnt vor kritischen Windows-Lecks

14.04.2004
Microsoft warnt aktuell vor insgesamt 20 Sicherheitslecks in Windows und Outlook Express. Anwender sollten die verfügbaren Patches umgehend einspielen.

In seinem seit November 2003 monatlich veröffentlichtem Security-Bulletin hat Microsoft für April 2004 vier Advisories herausgebracht. Drei sollen als "critical" eingestufte Sicherheitslücken beheben, ein Leck stuft der Hersteller als "important" ein.

Mit dem MS04-11 liefert Microsoft einen Sammel-Patch aus, der 14 Schwachstellen in den unterschiedlichen Windows-Versionen ab 98 einschließlich der 64-Bit-Versionen von XP und Windows Server 2003 beseitigen soll. Zum Teil handelt es sich um bekannte Lecks wie ungeprüfte Speicherbereiche in der Bibliothek "ASN.1" (Abstract Syntax Notation 1) (Computerwoche.de berichtete). Weitere Fehler stecken in den Modulen "LSASS", "LDAP", "PCT", "H323" sowie in der Hilfefunktion, im Utility-Manager, in der SSL-Implementierung und im Winlogon. Sie ermöglichen das Ausführen von Schadroutinen über Remote-Verbindungen, DoS-Attacken (Denial of Service) und das Erschleichen von Administratorenrechten. Welches Leck in den einzelnen Windows-Versionen zum Tragen kommt, hat Microsoft im Bulletin unter "Technical Details" aufgelistet.

Das MS04-12 enthält einen Sammel-Patch zum Schließen von Sicherheitslücken in der RPC-Laufzeitbibliothek (Remote Procedure Call) und im DCOM-Protokoll (Distributed Component Object Model) der Windows-Versionen ab NT 4.0, über die sich Schadroutinen über Remote-Verbindungen und DoS-Attacken ausführen lassen. Die RPC-Laufzeitbibliothek arbeitet fehlerhaft, wenn zwei separate Threads des Betriebssystems versuchen, innerhalb eines bestimmten Zeitrahmens speziell gestaltete Nachrichten zu verarbeiten. Diese "Race-Bedingung" kann bewirken, dass die Bibliothek interne Datenstrukturen nicht korrekt ändert. Außerdem schließt der Patch bereits bekannte Fehler der Dienste RPCSS und CIS.Die jetzt beseitigten Schwachstellen im RPC nutzt zum Beispiel der Internet-Wurm "Blaster" aus (Computerwoche.de berichtete).

Angriffe lassen sich laut Microsoft per Firewall abwenden. Zu blockieren sind die UDP-Ports 135, 137, 138 und 445 sowie die TCP-Ports 135, 139, 445 und 593. Unerwünschter Datenverkehr läuft laut Hersteller außerdem über Ports höher 1024. sowie über speziell konfigurierte RPC-Ports. Microsoft empfiehlt darüber hinaus dringend das Einspielen des verfügbaren Patches.

Die Microsoft-Betriebssysteme ab NT 4.0 weisen außerdem einen ungeprüften Speicherbereich in der "Jet Database Engine" auf. Darüber lässt sich ebenfalls beliebiger Code von Remote-Standorten ausführen. Ein Patch steht mit dem Advisory MS04-014 bereit.

Des Weiteren hat Microsoft ein kumulatives Sicherheitsupdate für Outlook Express veröffentlicht. Es ersetzt alle früher erschienenen Patches für die Versionen 5.5 SP2, 6 und 6 SP1 der E-Mail-Software und wurde im Betrieb mit den Windows-Versionen NT 4.9, 2000, XP (auch 64 Bit) und Server 2003 (auch 64 Bit) sowie 98, 98SE und ME getestet. Darüber hinaus beseitigt es ein neues Leck, durch das Angreifer auf Dateien zugreifen und die vollständige Kontrolle über das betroffene System erlangen können. Dies ist laut Microsoft auch dann möglich, wenn Outlook Express nicht als Standard-Mail-Programm eingerichtet ist. Der Fehler liegt in der Verarbeitung speziell gestalteter URLs (Universal Resource Locators) in HTML-Mails. Abhilfe schaffen soll der mit dem Advisory M04-013 veröffentlichte Patch. (lex)