Microsoft stellt fünf Patches für Sicherheitslöcher im Nachrichtendienst, ActiveX und den Desktop bereit; vier davon bewerten die Redmonder als kritisch. Ein Patch für das kürzlich entdeckte neue Problem im RPC-Dienst ist allerdings noch nicht dabei. Einen Überblick gibt das Microsoft Windows Security Bulletin Summary for October, 2003. Solche Monatszusammenfassungen soll es zukünftig regelmäßig geben, denn Microsoft will Sicherheitsupdates nicht mehr unregelmäßig sondern einmal im Monat veröffentlichen.
In MS03-041 warnt Microsoft vor einem Fehler in der Abfrage signierter ActiveX-Controls. Normalerweise prüft die Authenticode-Funktion, ob ein Control autorisiert ist und fragt den Anwender, ob es installiert und gestartet werden soll. Ein Angreifer kann diese Schutzfunktion austricksen und einem Anwender ActiveX-Controls ohne Nachfrage auf dem System installieren. Das Opfer muss dazu aber vorher ein HTML-Dokument öffnen, entweder beim Besuch einer manipulierten Webseite oder beim Lesen einer HTML-Mail in Outlook. Betroffen sind die Windows-Plattformen NT, 2000, XP, 2003 Server, -- Windows 95, 98 und ME sind im Bulletin nicht aufgeführt. Der Hotfix KB823182 beseitigt das Problem.
Ein Buffer Overflow im ActiveX-Control "Tshoot.ocx" (dem Windows Troubleshooter) ermöglicht es, beliebigen Code auf den Stack zu schreiben und mit den Rechten des angemeldeten Anwenders auszuführen. Da dieses Control als Safe for Scripting gekennzeichnet ist, reicht das Besuchen einer Webseite aus, um einem Angreifer Zugriff auf das Control zu gewähren. Laut Security Bulletin MS03-042 findet sich das fehlerhafte Control nur in Windows 2000 ab Service Pack 2. Das Update KB 826232 stopft die Lücke.
Mit einer manipulierten Nachricht an den Windows-Nachrichtendienst kann man laut Bulletin MS03-043 unter den Plattformen NT, 2000, XP und 2003 Server einen Buffer Overflow provozieren, mit dem man Code auf den PC des Anwenders laden und starten kann. Neben dem Abschalten des Nachrichtendienstes hilft auch das Einspielen des Hotfixes KB 828035 und das Sperren des Ports 135. Der Nachrichtendienst verwendet den RPC-Dienst unter Windows. Da diese Lücke großes Potenzial für Angriffe aus dem Internet bietet, sollten Anwender schnellstens den Hotfix einspielen.
Das in Windows XP und 2003 Server mitgelieferte "Help and Support Center" (HCP) enthält einen Buffer Overflow. HCP unterstützt und informiert Anwender bei Fragen und Problemen auf dem Desktop. Die Informationen werden als HTML-Seiten angezeigt, in denen ein eigenes HCP-Protokoll (HCP://) unterstützt wird. Nach Angaben des Bulletin MS03-044 kann man mit einer manipulierten HCP-URL Code auf den Stack des PC einschleusen und mit Systemrechten ausführen. Obwohl laut Microsoft nur XP und 2003 Server das HCP-Protokol verstehen, sollen ebenfalls Windows ME, NT und 2000 betroffen sein. Microsoft empfiehlt, den Patch KB 825119 einzuspielen.
Weniger kritisch als die vorherigen sollen in den ListBox- und ComboBox-Controls entdeckte Fehler sein. Beide Controls verwenden eine Funktion in der Bibliothek User32.dll zur lokalen Prozess-Kommunikation, die einen Fehler enthält, mit dem man ein Buffer Overflow provoziert. Da ein Angreifer diese Schwachstelle aber nur lokal ausnutzen kann, stuft Microsoft das Risiko im Bulletin MS03-045 bei NT, XP und 2003 Server als "Low" ein. Für Windows 2000 ist das Risiko als "Important" eingestuft, der hier mitgelieferte "Utility Manager" begünstigt das Starten von Applikationen mit höheren Rechten.
Die Links zu den entsprechenden Hotfixes beziehungsweise Updates für die jeweilige Plattform finden sich in den Bulletins. Diese Links führen zu den englischen Versionen der Patches, sodass rechts oben die Sprache auf "Deutsch" geändert werden muss. Die Bulletins sind derzeit noch nicht in Deutsch abrufbar. Alternativ kann man die Update-Funktion im Startmenü verwenden, um alle Patches in einem Zug zu installieren. (dab/c't)
Quelle:
heise.dePatches am laufenden Band...