Microsoft schließt besonders gefährliches Sicherheitsloch

Präparierte JPEG-Dateien ermöglichen Angreifern die Systemkontrolle

Im Rahmen seines monatlichen Patch-Zyklus hat Microsoft am Abend des gestrigen Dienstag sechs Security Bulletins veröffentlicht. Drei der neu dokumentierten Sicherheitslücken in Windows und Internet Explorer verdienen nach Microsofts Bewertungssystem den Schweregrad „kritisch“. Dieses Ranking erhalten Schwachstellen, die von Angreifern ohne spezielles Zutun des Anwenders ausgenutzt werden können.

Die nach Ansicht von Experten gefährlichste Schwachstelle betrifft in diesem Monat den Internet Explorer. Microsoft Security Bulletin MS05-038 beschreibt eine Sicherheitsanfälligkeit bei der Darstellung von JPEG-Bildern, die Angreifern das Ausführen von bösartigem Code ermöglicht. So könnten Angreifer speziell präparierte JPEG-Grafiken in HTML-E-Mails oder Webseiten einbetten, die bei der Betrachtung auf ungepatchten Systemen schädliche Inhalte ausführen. Diese wiederum könnten Angreifern die komplette Kontrolle über das kompromittierte System ermöglichen.

Zwei weitere Löcher in den Plug-and-Play- und Druckerwarteschlangendiensten wurden von Microsoft als „kritisch“ eingestuft. Beide ermöglichen es externen Angreifern, die Berechtigungen des angemeldeten Benutzers zu erhöhen, schädlichen Programmcode auf dem lokalen System auszuführen und so die Systemkontrolle zu übernehmen.

Für alle veröffentlichten Sicherheitslücken stellt Microsoft Patches bereit, die die Fehler beheben. Anwender der betroffenen Produkte sollten die zur Verfügung gestellten Updates schnellstmöglich installieren. Diese können auf der Website des Unternehmens oder am einfachsten über Windows Update heruntergeladen werden.

Auflistung der im August veröffentlichten Security Bulletins:

Schweregrad „Kritisch“

Kennung des Bulletins Microsoft Security Bulletin MS05-038

Titel des Bulletins

Kumulatives Sicherheitsupdate für Internet Explorer (896727)

Kurzzusammenfassung

Im Internet Explorer liegen Sicherheitsanfälligkeiten vor, und mit den schwersten davon kann ein Angreifer die vollständige Kontrolle über ein betroffenes System erlangen.

Bewertung des maximalen Schweregrads

Kritisch

Auswirkung der Sicherheitsanfälligkeit

Codeausführung von Remotestandorten aus

Betroffene Software:

Windows, Internet Explorer

Kennung des Bulletins Microsoft Security Bulletin MS05-039

Titel des Bulletins

Sicherheitsanfälligkeit in Plug-and-Play kann Remotecodeausführung und Erhöhung von Berechtigungen ermöglichen (899588)

Kurzzusammenfassung

Eine Sicherheitsanfälligkeit in Plug-and-Play (PNP) kann die Codeausführung von Remotestandorten aus ermöglichen. Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann er die vollständige Kontrolle über das betroffene System erlangen.

Bewertung des maximalen Schweregrads

Kritisch

Auswirkung der Sicherheitsanfälligkeit

Remotecodeausführung und lokale Erhöhung von Berechtigungen

Betroffene Software:

Windows

Kennung des Bulletins Microsoft Security Bulletin MS05-043

Titel des Bulletins

Sicherheitsanfälligkeit im Druckerwarteschlangendienst kann Codeausführung von Remotestandorten aus ermöglichen (896423)

Kurzzusammenfassung

Der Druckerwarteschlangendienst weist eine Sicherheitsanfälligkeit auf, die eine Codeausführung von Remotestandorten aus ermöglichen kann.

Bewertung des maximalen Schweregrads

Kritisch

Auswirkung der Sicherheitsanfälligkeit

Codeausführung von Remotestandorten aus

Betroffene Software:

Windows, Internet Explorer

Komplette Liste:
Microsoft Security Bulletin Summary für August 2005

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

11 Kommentare zu Microsoft schließt besonders gefährliches Sicherheitsloch

Kommentar hinzufügen
  • Am 10. August 2005 um 16:15 von Werner von Braun

    Warum kann man Microsoft eigentlich nicht auf Produkthaftung hin verklagen ?
    Wenn in den USA schon zu heißer Kaffee auf dem Oberschenkel zu horrenden Schadenersatzzahlungen führt dann sollte man Microsoft zumindest verpflichten jedem Nutzer den nicht unerheblichen zeitliches Zusatzaufwand für das Patchen zu ersetzen. Scheißladen !

    • Am 11. August 2005 um 8:18 von egal

      AW: Warum kann man Microsoft eigentlich nicht auf Produkthaftung hin verklagen ?
      >> nicht unerheblichen zeitliches
      >> Zusatzaufwand für das Patchen

      Ne ist klar.
      Dann sollte man wohl auch Symantec verklagen, denn das Updaten (neue Virendefinitionen usw.) dauert ja auch.
      Anstatt immer auf Microsoft rumzuhacken, solltest Du lieber mal die Schwachköpfe auszählen, die Viren und Würmer schreiben oder zusammenklicken. Für solche Pappnasen sollte das Strafgesetz für härtere Strafen ansetzen, und zwar ohne Bewährung!

    • Am 11. August 2005 um 8:50 von MicrosoftFan

      AW: Warum kann man Microsoft eigentlich nicht auf Produkthaftung hin verklagen ?
      Herumhacken auf Microsoft ist das, was die meisten Menschen nur können. Und das auch nur, weil sie unfähig sind, einen Computer VERNÜNFTIG zu nutzen.
      Das z. B. für einen Firefox Sicherheitsupdates notwendig sind, das wird nicht erwähnt. Genauso, dass Linux ebenfalls Antivirensoftware benötigt. Und was ist mit den Storageprogrammen von CA? Auch hier hat man Lücken gefunden. Oder Adobe – da gibt es auch immer wieder Updates.
      Es ist aber so, dass es wohl Spaß macht immer Microsoft die Schuld zu geben.
      Aber an anderer Stelle habe ich ähnliches schon mal geschrieben. Die Kommentare zu den News werden einfach immer dämlicher. Und das sollte Zdnet sich mal zu herzen nehmen.

    • Am 11. August 2005 um 9:17 von Egal

      AW: AW: Warum kann man Microsoft eigentlich nicht auf Produkthaftung hin verklagen ?
      Was erwartes du von diesen Linux-Jüngern und Möchtegern Rebellen?? Etwa das sie objektiv sein sollen?! ;-)

    • Am 11. August 2005 um 13:17 von Eagleeye

      AW: AW: AW: Warum kann man Microsoft eigentlich nicht auf Produkthaftung hin verklagen ?
      Ja. Ebenso wie von den opportunistischen und unkritischen Windowsjüngern. ;)

    • Am 11. August 2005 um 13:54 von domspatz

      AW: AW: AW: AW: Warum kann man Microsoft eigentlich nicht auf Produkthaftung hin verklagen ?
      Ich denke, egal welchem Betriebssystem man sich eher verbunden fühlt… Kritik sollte einen Hintergrund haben, sie muss nicht mal konstruktiv sein. Einfach zu sagen MS ist scheisse, Linux ist scheisse, Schadenersatz her -> das ist ein wenig dünn

    • Am 17. August 2005 um 22:23 von Werner Brösel

      AW: Warum kann man Microsoft eigentlich nicht auf Produkthaftung hin verklagen ?
      Hallo

      Q;" Wenn in den USA schon zu heißer Kaffee auf dem Oberschenkel zu horrenden Schadenersatzzahlungen führt"

      Gerade der Fall ist ein schlechtes Beispiel. Schon mal die Faktenlage recherchiert ?

      Wenn man in den USA kochenden Kaffee serviert ( in einem Drive Inn mit untauglichem Behälter ) und sich damit diverse Unfälle ereignet haben worauf man von den Behörden auflagen bekam und dann anschliessend immer noch Unfälle mit extraheissem Material passieren dann kann sogar ein Weltkonzern mit den besten Wortverdrehern einer Strafe nicht entgehen. ( Und das ist Gut so !! ;) )

      Das von der Schadenersatzsumme ein Teil an Wohlfahrtsprojekte ging kam auch nicht überm Teich an.

      Grüssle

    • Am 17. August 2005 um 23:16 von Werner Brösel

      AW: AW: Warum kann man Microsoft eigentlich nicht auf Produkthaftung hin verklagen ?
      Hallo

      "Das z. B. für einen Firefox Sicherheitsupdates notwendig sind, das wird nicht erwähnt"

      Sorry das wird "erwähnt" und es gibt sogar einen gewaltigen Unterschied.

      Wenn ich auf die Mozilla/Firefoxstartseite gehe finde ich sofort aktuelle Sicherheitslücken in der Newsspalte. ( Ok die wandern nach einigen Tagen raus )
      Wenn ich auf die MSN Startseite gehe bekomme ich nur Mittelungen das ein neuer noch beserer Messenger, Mediaplayer,,, downloadbar ist.
      Selbst wenn ich über MSNintern oder MicrosoftInfos tiefer gehe sind die Informationen spärlich es wird am Ende immer mit der MS Update verbunden und dort kann man sich durchs Knowledgecenter wühlen.
      Seit einigen Monaten hat MS ja den Sicherheitsaspekt massiv verstärkt aber das ist eher eine Marketingaktion bei dem "heikle" Themen einfach nicht auftauchen.

      Ach ja, meine MSN Startseite ist default.

      Und bei Firefox muss man nicht mal auf irgendeine Homepage gehen.
      Oben rechts gibts im Firefox einen Statusmonitor.
      Ist der Grün oder Blau gibt es Updates für Firefox oder die Extensions.
      Ist der Kreis Rot dann gibt es ein Sicherheitsrisiko.
      Wenn man draufklickt startet dann der Download des patches/updates oder falls noch nichts verfügbar, wird im Browser die passende Seite mit den Informationen über das Problem geöffnet.

      Bisherige schwere Sicherheitsprobleme wurden auch bisher recht zügig gelöst es gibt immer noch ein paar offene Lücken.

      Im Vergleich dazu sind beim IE immer noch diverse Scheunentore seit Jahren offen und W3C Kompatibel ist er auch noch nicht.

      Will ich beim IE einen Sicherheitsupdate machen muss ich mit dem IE und aktive X ( sprich mit denn Sicherheitslöchern ) auf die MS Update site.
      Ich kann zwar per Zonenmodel recht sicher updaten aber viele Normaluser ohne Firewall und/oder gutem Virenschutz könnten sich in der Zeit etwas einfangen. Und diesen Sicherheitsupdate muss ich mit jeder Installation machen.

      Es gibt bei MS zwar eine aktuellere IE6 version zum runterladen aber das sind dann gleich 60 MB ( Müsste jetzt mal nachsehen mein letzter DL war IE7beta und der kam verdammt schlank ) und dann trotzdem immer noch nicht up do date und daher anschliessend nochmal zu patchen.

      Der Firefox ist gerade 5MB gross und man muss die alten Versionen ( "unsichere" ) erst mal finden falls man die überhaupt will.

      Übrigens ein regelmässiger Browsercheck über BSI/CTSecurity/RusCert schadet nicht ;)

      Grüssle

  • Am 17. August 2005 um 18:08 von irgendwer

    Generelles Problem von Firefox, IE usw.
    Wenn es so einfach wäre bugfreie Software zu machen, dann dürften weder MS noch Firefox noch Apache- oder Mozilla-Projekte Fehler beinhalten.

    Daher sollte nicht der "Hausherr" – sondern der "Dieb" (im übertragenen Sinne) und meinem Rechtsverständnis an den Ohren gezogen werden! Ausgenommen davon – wie im richtigen Leben – wäre grobe Fahrlässigkeit eines Herstellers, was wohl kaum zu beweisen wäre.

  • Am 18. August 2005 um 12:59 von Peter Wiegel

    Sicherheitslöcher sind genaugenommen oft keine Fehler
    Mit Software ist es wie z.B. mit Türschlössern – bei der Koinstrruktion kann sich niemand vorstellen, welche methoden zum illegalen aufsperren noch erfunden werden. Als jemand das Zylinderschloss erfunden hatte, war es ein fehlerfreies Produkt, wenns nicht hakt – Dann findet jemand heraus, wie man mit einer Haarklammer eben doch das schloss öffnet. Ist das jetzt ein Fehler am Schloss? Nein, es ist ein grund, diese Konstuktion weiter zu verfeinern. Doch was immer man macht, irgend jemand wird dann auch immer eine Aufsperrmethode erfinden – nicht anders ist das bei IE, Firefox und Co.
    Programmfehler im eigentlichen sinne sind es nur, wenn das Programm aus sich heraus dinge macht, die nicht vorgesehen waren und z.B. zu Abstürzen oder Datenverlusten führen. Wenn aber irgendwo eingebrochen wurde und der digitale Schlosshersteller liefert uns dann gleich neue "Schließzylinder" die auch die neue Einbruchmethode verhindern, sollten wir dafür doch dankbar sein, anstatt auf die fehlerhaften "Schlösser" zu schimpfen

  • Am 3. März 2006 um 13:57 von M.Hohn-Bergerhoff

    Fehler oder doch?
    Natürlich sind die kritischen Lücken Fehler, im geringsten Fall vielleicht nur Fahrlässigkeit. Wenn aber Komandosyntax nicht auf Plausibilität überprüft und dann bei einem Fehler alles mit vollsten Benutzerrechten erlaubt wird, dann ist das sehr wohl ein Fehler im Sinne der Produkthaftung. Wenn das Schloß bei einstecken eines falschen Schlüssels nicht zu bliebe, sondern eine Fehlermeldung ausgäbe und zur Tür noch die Fenster öffnete, dann wäre das ein Fehler!!!! Es geht hier nicht um geknackte Kennworte durch ausprobieren, sondern Ausnutzung der Tatsache daß die MS-Fehlerverwaltung mehr Rechte besitzt als ein Administrator und dann noch nicht einmal simpelste Sicherheitsvorkehrungen bei massiven Eingriffen überprüft. Allein eine Sicherheitsabfrage könnte vielen Schäden verhindern, wenn sie aussagekräftig genug ist. Aber vermutlich würde dann auffallen, wieviel Programmist nur mit Hilfe von (in Basic gesprochen) ON ERROR RESUME lauffähig ist.

    Computer-Fritze

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *