Microsofts März-Patches zu Outlook, Messenger und Media Services
Microsoft hat am monatlichen Patchday im März drei Updates herausgegeben. Sie betreffen Sicherheitslöcher in Outlook, dem MSN Messenger und den Windows 2000 Media Services.
Microsoft hat am monatlichen Patchday im März drei Updates herausgegeben. Das dringendste beseitigt einen Fehler in der Art wie Outlook 2002 Aufrufparameter auswertet, die ihm per mailto:-URLs übergeben werden. Durch sepezielle mailto-URLs kann ein Angreifer JavaScript-Code zur Ausführung bringen, der dann mit den Rechten des angemeldeten Benutzers in der Zone lokaler Computer läuft. Er kann diese URLs so in einer E-Mail oder Web-Seite einbauen, dass sie ohne weitere Aktion des Benutzers bei deren Betrachten ausgeführt werden. Damit kann er dann beispielsweise Hintertür-Programme nachladen.
Weniger schwerwiegend ("moderate") schätzt Microsoft eine Lücke im MSN Messenger ein. Durch spezielle File Requests kann ein Angreifer hier beliebige Dateien auf dem System eines Messenger-Anwenders auslesen, deren Namen und Pfad er kennt. Der dritte Patch betrifft die Media Services von Windows 2000 Server, die ein Angreifer durch spezielle TCP/IP-Pakete lahmlegen kann (Denial of Service, DoS).
Microsoft empfiehlt, die Patches auf allen betroffenen Systemen einzuspielen, insbesondere das Outlook-Update wird als wichtig bezeichnet. Zu den existierenden Schwachstellen des Internet Explorer, die es Web-Seiten ermöglichen, beliebigen Code auf dem Systemem ihrer Besucher auszuführen (siehe Browsercheck-Demo), gibt es noch keinen Kommentar aus Redmond.
Mit dem noch in diesem Halbjahr erwarteten Service Pack 2 für Windows XP will Microsoft jedoch unter anderem die Risikofaktoren Internet Explorer und Outlook (Express) entschärfen. Einen Überblick über die geplanten Neuerungen in diesem Bereich gibt der zweite Teil des Artikels Vergitterte Fenster auf heise Security.
Interessant ist im Übrigen auch die von iDefense in einem eigenen Advisory aufgeführte zeitliche Abfolge (Timeline) zur Geschichte der Outlook-Schwachstelle. Bereits im Oktober letzten Jahres hat iDefense die Informationen zu dem Sicherheitsloch vom eigentlichen Entdecker Jouko Pynnönen erworben. Im November benachrichtigten sie Microsoft und kurz darauf auch schon die eigenen Kunden. Fast vier Monate später -- parallel zu Microsofts Patch -- hat die Sicherheitsfirma nun auch ein öffentliches Advisory herausgegeben.
Siehe dazu auch:
- Security Advisory zu Outlook von iDefense
- Zusammenfassungen der März-Updates auf Microsofts-Sicherheitsseiten
- Microsoft Security Bulletin MS04-008 zu den Windows Media Services
- Microsoft Security Bulletin MS04-009 zu Outlook
- Microsoft Security Bulletin MS04-0010 zum MSN Messenger
- Vergitterte Fenster, Teil 1, Neue Sicherheitsfunktionen in Windows XP mit Service Pack 2
- Vergitterte Fenster, Teil 2, Neue Sicherheitsfunktionen in Windows XP mit Service Pack 2
(ju)
