RUS-CERT, Stuttgart University Cumulative Patch Announcement Zusammengefasste Patch-Benachrichtigung Oliver Goebel Anselm R. Garbe This document should be read by Microsoft Windows system administrators. Dieses Dokument sollte von Windows System-Administratoren gelesen werden. Stuttgart University Universität Stuttgart Example.com
  • Typos corrected
  • German versions of Microsoft Security Bulletins added
    •
  • Rechtschreibfehler korrigert
  • deutsche Versionen der Microsoft-Advisories aufgenommen
    •      Several Patches Solve Several Critical Problems Mehrere Patches beheben mehrere teilweise kritische Probleme Microsoft has issued five new bulletins providing patches to solve several problems. Due to the criticlality of some of the problems the application of the patches is highly recommended. Microsoft hat fünf neue Bulletins herausgegeben, in denen Patches zur Behebung von teils kritischen Problemen zur Verfügung gestellt werden. Die Installation der Patches wird dringend empfohlen. CAN-2003-0660 Unknown Unbekannt ActiveX control via
  • an HTML page of a web server
  • an HTML email message
  • an arbitrary document containing HTML code
    •  ActiveX-Control über
  • eine HTML-Seite eines Webservers
  • eine HTML-E-Mail-Nachricht
  • ein beliebiges Dokument, das ensprechenden HTML-Code enthält
    •      An attacker needs access to a network that provides immediate or mediate connection to an affected system Ein Angreifer benötigt Zugriff zu einem Netzwerk, das unmittelbaren oder mittelbaren Kontakt zu einem betroffenen System ermöglicht. Execution of arbitrary code with the privileges of the browsing user. Ausführung beliebigen Programmcodes mit den Privilegien des browsenden Benutzers.     CAN-2003-0662 buffer overflow bug Pufferüberlaufschwachstelle A reference to the Local Troubleshooter ActiveX Control by
  • an HTML page of a web server
  • an HTML email message
  • an arbitrary document containing HTML code
    •  Referenz auf das Local Troubleshooter ActiveX Control über
  • eine HTML-Seite eines Webservers
  • eine HTML-E-Mail-Nachricht
  • ein beliebiges Dokument, das ensprechenden HTML-Code enthält
    •      An attacker needs access to a network that provides immediate or mediate connection to an affected system. Ein Angreifer benötigt Zugriff zu einem Netzwerk, das unmittelbaren oder mittelbaren Kontakt zu einem betroffenen System ermöglicht. Compromise of the hosting system Komprommittierung des beherbergenden Rechnersystems     CAN-2003-0717 buffer overflow bug Pufferüberlaufschwachstelle Receival of an Messenger Service message (TCP/UDP-Ports 137-139) Empfang einer Messenger Service Nachricht (TCP/UDP-Ports 137-139) An attacker needs access to a network that provides immediate or mediate connection to an affected system. Ein Angreifer benötigt Zugriff zu einem Netzwerk, das unmittelbaren oder mittelbaren Kontakt zu einem betroffenen System ermöglicht. Compromise of the hosting system Komprommittierung des beherbergenden Rechnersystems CAN-2003-0711 buffer overflow bug Pufferüberlaufschwachstelle A specially crafted URL refering to the local help system via
  • an HTML page of a web server
  • an HTML email message
  • an arbitrary document containing HTML code
    •  Speziell formulierter URL, der das lokale Hilfesystem referenziert über
  • eine HTML-Seite eines Webservers
  • eine HTML-E-Mail-Nachricht
  • ein beliebiges Dokument, das ensprechenden HTML-Code enthält
    •      An attacker needs access to a network that provides immediate or mediate connection to an affected system. Ein Angreifer benötigt Zugriff zu einem Netzwerk, das unmittelbaren oder mittelbaren Kontakt zu einem betroffenen System ermöglicht. Compromise of the hosting system Komprommittierung des beherbergenden Rechnersystems     CAN-2003-0659 buffer overflow bug Pufferüberlaufschwachstelle Execution of functions included in User32.dll. Such are program using a ListBox or ComboBox. Ausführung von Funktionen der User32.dll-Bibliothek (Programme die ListBox oder ComboBox verwenden) An attacker needs interactive access to an affected system Ein Angreifer benötigt interaktiven Zugriff zu einem betroffenen System. Compromise of the hosting system Komprommittierung des beherbergenden Rechnersystems
  • Windows NT 4.0
  • Windows Server NT 4.0 Terminal Server Edition
  • Windows 2000
  • Windows XP
  • Windows Server 2003
    •      Microsoft Windows 2000
  • Windows NT 4.0
  • Windows Server NT 4.0 Terminal Server Edition
  • Windows 2000
  • Windows XP
  • Windows Server 2003
    •
  • Windows XP
  • Windows Server 2003
  • Windows Millennium Edition (theoretical)
  • Windows NT 4.0 (nur theoretisch)
  • Windows Server NT 4.0 Terminal Server Edition (theoretical)
  • Windows 2000 (theoretical)
    •
  • Windows NT 4.0
  • Windows Server NT 4.0 Terminal Server Edition
  • Windows 2000
  • Windows XP
  • Windows Server 2003
    •
  • Windows NT 4.0
  • Windows Server NT 4.0 Terminal Server Edition
  • Windows 2000
  • Windows XP
  • Windows Server 2003
    •      Microsoft Windows 2000
  • Windows NT 4.0
  • Windows Server NT 4.0 Terminal Server Edition
  • Windows 2000
  • Windows XP
  • Windows Server 2003
    •
  • Windows XP
  • Windows Server 2003
  • Windows Millennium Edition (nur theoretisch)
  • Windows NT 4.0 (nur theoretisch)
  • Windows Server NT 4.0 Terminal Server Edition (nur theoretisch)
  • Windows 2000 (nur theoretisch)
    •
  • Windows NT 4.0
  • Windows Server NT 4.0 Terminal Server Edition
  • Windows 2000
  • Windows XP
  • Windows Server 2003
    •

    Particularly the third vulnerability described in bulletin MS03-043 can be classified as critical. It is highly recommended to install all available security patches.

    Bulletin MS03-041 describes a vulnerability in Authenticode, under certain low memory conditions, that could allow an unauthorized ActiveX control to download, install, and execute without prompting the user for approval. An attacker may be able to exploit this vulnerability by hosting a malicious Web Site which is designed to exploit this vulnerability. If a user is visiting that site an ActiveX control could be installed and executed on the user's system. Furthermore, an attacker could also create a specially prepared HTML email message and send it to the user. If the user viewed the message an unauthorized ActiveX control could be installed and executed on the user's system. Bulletin MS03-042 describes a buffer overflow vulnerability in the Local Troubleshooter ActiveX control. If a user viewed a specially prepared HTML e-mail message or page, which embeds this control, an attacker could trigger a buffer overrun to exploit this vulnerability and execute arbitrary code on the user's system with the user's privileges. Bulletin MS03-043 describes a vulnerability in the Messenger Service that could allow execution of arbitrary code on an affected system. When processing a message the Messenger Service does not properly validate the length of the message before passing it to the allocated buffer. An attacker who exploited this vulnerability could run code with Local System privileges on an affected system, ord cause the Messenger Service to fail. The attacker then could take arbitrary actions on the system, including the installion of programs, viewing, changing or deleting data, or creating new accounts with full privileges. Bulletin MS03-044 describes a buffer overflow vulnerability in the Help and Support Center of Windows XP and Windows 2003 Server. If a user clicks on a specially crafted URL an attacker could execute code of his choice in the Local Computer security context. The URL could be hosted on a web page, or sent to the user in an email message. Bulletin MS03-045 describes a buffer overflow vulnerability in a API call of User32.dll-library. This Library is called by ListBox and ComboBox controls. An attacker who is able to log on to a system interactively could run a program that sends a specially-crafted Windows message to any applications that have implemented theListBox and ComboBox control, causing the application to execute any action an attacker specifies. Exploiting this vulnerability can be used by an attacker to gain complete control over the system by using the Utility Manager in Windows 2000.

    Vor allem die im Bulletin MS03-043 beschriebene Schwachstelle (3.) ist als kritisch einzustufen. Die Installation aller verfügbaren Patches ist dringend empfohlen.

    Das Bulletin MS03-041 beschreibt ein Problem in der Authenticode Verifizierung u.a. von ActiveX-Controls. Beim Betrachten einer speziell formulierten HTML-Seite, die ein entsprechendes ActiveX-Control enthält, kann es unter bestimmten Bedingungen (nicht ausreichend freier Speicher) dazu kommen, daß dieses vom System fälschlicherweise (ohne Bestätigung durch den Benutzer) als vertrauenswürdig eingestuft und ausgeführt wird. Dieser Umstand kann von einem Angreifer dazu ausgenutzt werden, über ein ActiveX-Control beliebigen Programmcode auf dem beherbergenden Rechnersystem mit den Privilegien des betrachtenden Benutzers zu installieren und auszuführen. Das Bulletin MS03-042 beschreibt eine Pufferüberlaufschwachstelle im Local Troubleshooter ActiveX control. Beim Betrachten einer speziell formulierten HTML-Seite, die dieses Control referenziert, kann ein Pufferüberlauf provoziert und beiliebiger Programmcode mit den Privilegien des betrachtenden Benutzers auf dem beherbergenden Rechnersystem ausgeführt werden. Das Bulletin MS03-043 beschreibt ein Problem im Messenger Service. Die Verarbeitungsroutinen überprüfen die Länge einer Nachricht nicht immer korrekt, was dazu führen kann, daß der reservierte Puffer bei der Verarbeitung der Nachricht überläuft. Dieser Umstand kann von einem Angreifer durch das Senden einer speziell formulierten Nachricht dazu ausgenutzt werden, beliebigen Programmcode mit SYSTEM-Privilegien auf dem beherbergen System auszuführen. Das Bulletin MS03-044 beschreibt eine Pufferüberlaufschwachstelle im Help and Support Center für Windows XP und 2003. Beim Besuchen eines speziell formulierten URLs, der das Hilfesystem referenziert, kann ein Pufferüberlauf provoziert werden, der dazu ausgenutzt werden kann, beliebigen Programmcode im lokalen Sicherheitskontext des beherbergenden Rechnersystems auszuführen. Das Bulletin MS03-045 beschreibt eine Pufferüberlaufschwachstelle in einer Funktion der User32.dll-Bibliothek, die dazu ausgenutzt werden kann, beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen. Verschiedene Applikationen benutzen diese Bibliothek und sind daher potentiell verwundbar. Ein Angreifer mit interaktivem Zugang zum beherbergenden Rechnersystem kann diese Schwachstelle dazu ausnutzen, beliebigen Programmcode mit den Privilegien des aufrufenden Prozesses auf diesem auszuführen.     Installation of security patches described in Microsoft Security Bulletin MS03-041 Installation of security patches described in Microsoft Security Bulletin MS03-042 Installation of security patches described in Microsoft Security Bulletin MS03-043 Installation of security patches described in Microsoft Security Bulletin MS03-044 Installation of security patches described in Microsoft Security Bulletin MS03-045 Installation der im Microsoft Security Bulletin MS03-041 beschriebenen Patches Installation der im Microsoft Security Bulletin MS03-042 beschriebenen Patches Installation der im Microsoft Security Bulletin MS03-043 beschriebenen Patches Installation der im Microsoft Security Bulletin MS03-044 beschriebenen Patches Installation der im Microsoft Security Bulletin MS03-045 beschriebenen Patches Windows Security Bulletin 20031015 Microsoft Security Bulletin MS03-041: Sicherheitsanfälligkeit in Authenticode-Überprüfung kann Remotecodeausführung ermöglichen (823182) (dt. Version) Microsoft Security Bulletin MS03-042: Pufferüberlauf im ActiveX-Steuerelement der Windows-Problembehandlungkann Codeausführung ermöglichen (826232) (dt. Version) Microsoft Security Bulletin MS03-043: Pufferüberlauf im Nachrichtendienst kann Codeausführung ermöglichen (828035) (dt. Version) Microsoft Security Article MS03-044: Pufferüberlauf im Hilfe- und Supportcenter von Windows könnte zu Systembeschädigung führen (825119) (dt. Version) Microsoft Security Bulletin MS03-045: Pufferüberlauf in den Steuerelementen "ListBox" und "ComboBox" kann Codeausführung ermöglichen (824141) (dt. Version)