computerwoche.de

Web

Massig Patches im Oktober-Security-Bulletin von Microsoft

16.10.2003

MÜNCHEN (COMPUTERWOCHE) - Nachdem Microsoft-Chef Steve Ballmer bereits letzte Woche auf der Worldwide Partner Conference eine neue Sicherheitsinitiative für Windows-Nutzer ankündigte (Computerwoche online berichtete), hat der Hersteller jetzt die ersten monatlich aktualisierten Security Bulletins herausgebracht. Sie lösen die bislang wöchentlich erschienen Meldungen ab und erhöhen die Zahl der in diesem Jahr erschienen Microsoft-Patches auf 47.

Das "Windows Security Bulletin Summary" für Oktober fasst fünf neu entdeckte Sicherheitslücken für das Betriebssystem zusammen.

MS03-041 warnt vor einem Fehler in der Abfrage signierter ActiveX-Controls. Sie lassen sich über HTML-Mails oder manipulierte Web-Seiten installieren. Angreifer können über sie mit den gleichen Rechten wie der angemeldete Anwender auf das System zugreifen. Betroffen sind die Windows-Versionen NT 4, 2000 sowie XP und Server 2003 (32-Bit- und 64-Bit Version).

MS03-042 liefert einen Patch gegen ein Buffer-Overrun-Leck (Speicherüberlauf) im ActiveX-Control "Tshoot.ocx" (Troubleshooter). Es lässt sich ebenfall über HTML-Mails und Web-Seiten ausnutzen und ermöglicht es Angreifern, beliebigen Code mit Nutzerrechten auszuführen. Betroffen ist Windows 2000.

MS03-043 beschäftigt sich mit einem Buffer Overrun im Messenger Service. Er tritt in allen Windows-Varianten ab NT 4 auf und ermöglicht das Ausführen von Schadroutinen via Remote-Zugriff. Microsoft stuft die Lücke als "critical" ein und empfiehlt, mittels Firewall den RPC-Verkehr (Remote Procedure Call) zu unterbinden, bis der Patch eingespielt ist. Betroffen sind alle Windows-Versionen ab NT 4.

Ein ungeprüfter Speicherbereich, der zu einem Buffer Overrun führen kann, steckt auch im Windows Help and Support Center. Laut MS03-044 sind alle Betriebssystem-Varianten ab Windows ME betroffen. Microsoft stuft das Leck jedoch nur in XP und Server 2003 als "critical" ein, da diese Plattformen das HCP-Protokoll unterstützen. Es wird dazu verwendet, um im Help Center verknüpfte Internet-Adressen im Browser zu öffnen. Angreifer nutzen die Funktion, um manipulierten Code einzuschleusen und mit Systemrechten auszuführen.

Ebenfalls ein Speicherüberlauf lässt sich in den Listbox- und Combobox-Controls von Windows (ab NT 4) auslösen. Microsoft stuft das Risiko als gering ein, da ein Angreifer lokalen Zugriff auf betroffene Systeme benötigt. Dort muss er manipulierte Anwendungen ausführen, die auf die Elemente zugreifen, heißt es im Bulletin MS03-045, das neben Patches auch Workarounds enthält.

Das "Exchange Server Security Bulletin Summary" für Oktober weist auf zwei Sicherheitslücken in Microsofts E-Mail-Server hin.

Durch unauthentifizierte Zugriffe auf den SMTP-Port (Simple Mail Transfer Protocol) lassen sich Exchange-5.5- und Exchange-2000-Server in die Knie zwingen. Auf Exchange-2000-Systemen können Angreifer zudem einen Speicherüberlauf auslösen und Schadroutinen starten (MS03-046).

Nur Exchange Server 5.5 weist ein Leck in der Komponente "Outlook Web Access" auf. Es ermöglicht "Cross-Site-Scripting"-Attacken, über die sich Schadroutinen auf betroffene Systeme einschleusen lassen, indem Online-Anfragen auf Websites Dritter umgelenkt und die Sicherheitseinstellungen betroffener Nutzer manipuliert werden (MS03-047).

Außerdem hat Microsoft ein Leck in seinem E-Mail-Dienst Hotmail beseitigt. Es wurde am 8. Oktober vom kalifornischen Softwarehersteller Finjan entdeckt und ermöglichte den unberechtigten Zugriff auf Adressbücher von Hotmail-Anwendern. Zudem konnten Angreifer E-Mails über fremde Nutzer-Accounts versenden. (lex)