muem
Lt. Commander
- Registriert
- Juli 2003
- Beiträge
- 1.331
http://www.microsoft.com/downloads/...FamilyID=0C1B4C96-57AE-499E-B89B-215B7BB4D8E9
Microsoft-Sicherheitsempfehlung (912840)
Sicherheitsanfälligkeit in Grafikwiedergabemodul kann Remotecodeausführung ermöglichen
Veröffentlicht: 28. Dez 2005 | Aktualisiert: 03. Jan 2006
Am Dienstag, dem 27. Dezember 2005 wurden Microsoft öffentliche Meldungen über böswillige Angriffe auf Benutzer bekannt, bei denen eine bisher unbekannte Sicherheitsanfälligkeit innerhalb des Windows Metafile-Codes (WMF) ausgenutzt wird.
Microsoft setzte sofort den Software Security Incident Response Process (SSIRP) zur Untersuchung von Sicherheitsvorfällen in Kraft, um den Angriff zu analysieren und zu bewerten sowie eine technische Lösung und Anweisungen für Benutzer bereitzustellen. Außerdem wurde im Rahmen dieses Prozesses Kontakt mit Virenschutzpartnern und Behörden aufgenommen.
Die technischen Hintergründe des Angriffs wurden bis zum 28. Dezember 2005 ermittelt und Microsoft veranlasste umgehend die Entwicklung eines Sicherheitsupdates für die WMF-Sicherheitsanfälligkeit.
Die Entwicklung des Sicherheitsupdates für diese Sicherheitsanfälligkeit ist inzwischen abgeschlossen. Das Sicherheitsupdate wird zurzeit lokalisiert und auf Qualität und Anwendungskompatibilität getestet. Microsoft plant, das Update am Dienstag, den 10. Januar 2006 im Rahmen seiner monatlichen Security Bulletins zu veröffentlichen. Diese Veröffentlichung hängt vom erfolgreichen Abschluss der Qualitätstests ab.
Wenn die im Update empfohlenen Maßnahmen unsere rigorosen Qualitätstests bestehen, wird das Update weltweit gleichzeitig in 23 Sprachen und für alle betroffenen Versionen von Windows veröffentlicht. Das Update wird im Microsoft Download Center sowie über Microsoft Update und Windows Update zur Verfügung stehen. Benutzer, die die automatischen Updates unter Windows verwenden, erhalten die Fehlerbehebung automatisch.
Infolge des Kunden-Feedbacks zu Sicherheitsupdates müssen alle Microsoft-Sicherheitsupdates eine Reihe von Qualitätstests bestehen, darunter Tests durch Drittanbieter. Auf diese Weise wird sichergestellt, dass sich die Updates unter minimalen Ausfallzeiten für alle Versionen und Sprachversionen der Windows-Plattform wirkungsvoll einsetzen lassen.
Microsoft hat die Angriffsversuche unter Ausnutzung der WMF-Sicherheitsanfälligkeit seit der letzten Woche sowohl über interne Ressourcen als auch über Partner innerhalb der Branche sowie die Behörden eingehend beobachtet. Obwohl das Problem ernst zu nehmen ist und böswillige Angriffe stattfinden, weisen Informationsquellen bei Microsoft darauf hin, dass diese Angriffe nicht weit verbreitet sind.
Außerdem geben Virenschutzhersteller an, dass sich Angriffe unter Ausnutzung der WMF-Sicherheitsanfälligkeit durch aktualisierte Antivirussignaturen wirkungsvoll umgehen lassen.
Die Benutzer werden aufgefordert, ihre Antivirussoftware weiterhin aktuell zu halten. Auch die Software Microsoft Windows AntiSpyware (Betaversion) kann Ihr System vor Spyware und anderen unerwünschten, potenziell schädlichen Programmen schützen. Sie können außerdem die Website Windows Live Safety Center besuchen und dort die Option zum vollständigen Überprüfen des Computers ausführen, um schädliche Programme, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte, zu ermitteln und gegebenenfalls zu entfernen. Wir werden diesen öffentlichen Meldungen auch weiterhin nachgehen.
Wenn Sie Windows OneCare-Benutzer sind und Ihr aktueller Status „grün“ lautet, ist Ihr System bereits vor allen bekannten schädlichen Programmen geschützt, über die die Sicherheitsanfälligkeit ausgenutzt werden könnte.
Benutzer, die bewährte Methoden zum sicheren Browsen anwenden, dürften von einer Ausnutzung der WMF-Anfälligkeit nicht betroffen sein. Wir empfehlen, keine unbekannten oder nicht vertrauenswürdigen Websites zu besuchen, die manipulierten Code enthalten könnten.
Microsoft empfiehlt, beim Öffnen von E-Mail-Nachrichten aus unbekannter Quelle und beim Klicken auf darin enthaltene Links vorsichtig vorzugehen. Es ist uns zwar kein Fall bekannt, bei dem ein einfaches Öffnen einer E-Mail zu einem Angriff geführt hat, jedoch könnte ein Benutzer durch Klicken auf einen Link innerhalb einer E-Mail auf eine manipulierten Website geleitet werden. Weitere Informationen zum sicheren Browsen finden Sie auf der Website Trustworthy Computing.
Der absichtliche Einsatz von Angreifercode jeglicher Form mit dem Ziel, Computerbenutzern Schaden zuzufügen, wird strafrechtlich verfolgt. Microsoft arbeitet daher bei der Untersuchung solcher Fälle auch weiterhin eng mit den jeweiligen Behörden zusammen. Kunden, die befürchten, angegriffen worden zu sein, können sich an das örtliche FBI-Büro wenden oder ihre Beschwerde auf der Website Internet Fraud Complaint Center melden. Kunden außerhalb den USA können sich an die nationale Strafverfolgungsbehörde ihres Landes wenden.
Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und eine Virenschutzsoftware zu installieren. Mehr über diese drei Vorsichtsmaßnahmen erfahren Sie auf der Website Schützen Sie Ihren PC.
Benutzer, die befürchten, von diesem Problem betroffen zu sein, können sich an die Product Support Services wenden. Die Support Services sind in Nordamerika und Kanada kostenlos unter der PC-Sicherheits-Hotline erreichbar (1866-PCSAFETY). Kunden außerhalb Nordamerikas und Kanadas können die Nummer der kostenlosen Virus-Hotline über die Microsoft-Website „Hilfe und Support“ in Erfahrung bringen.
Schadensbegrenzende Faktoren:
•
Für ein Angriffsszenario im Web muss ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Ein Angreifer kann Benutzer zum Besuch einer Website nicht zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken.
•
•Zum Ausnutzen der vorliegenden Sicherheitsanfälligkeit über einen E-Mail-basierten Angriff müsste der Benutzer auf einen Link in einer manipulierten E-Mail klicken oder einen Dateianhang öffnen. Benutzer sollten sich vor Augen führen, dass ein manipulierter Dateianhang nicht unbedingt eine .wmf-Datei sein muss. Es könnte sich auch um die Formate .jpg, .gif oder ein anderes Format handeln. Es sind zurzeit keine Dateianhänge bekannt, über die ein Angriff durch einfaches Lesen einer E-Mail ausgelöst werden könnte.
•
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann nur die gleichen Benutzerberechtigungen wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit geringeren Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerberechtigungen arbeiten.
•
Internet Explorer unter Windows Server 2003, Windows Server 2003 Service Pack 1, Windows Server 2003 mit Service Pack 1 für Itanium-basierte Systeme und Windows Server 2003 x64 Edition wird standardmäßig in einem eingeschränkten Modus ausgeführt, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dadurch wird die Sicherheitsanfälligkeit im Hinblick auf die E-Mail-Nachricht verringert, obwohl der Benutzer weiterhin gefährdet ist, wenn er auf einen Link klickt. Unter Windows Server 2003 erfolgt in Microsoft Outlook Express das Lesen und Senden von Nachrichten standardmäßig im Nur-Text-Format. Beim Beantworten einer E-Mail-Nachricht in einem anderen Format wird die Antwort im Nur-Text-Format verfasst. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Abschnitt „Häufig gestellte Fragen (FAQs)“.
Microsoft-Sicherheitsempfehlung (912840)
Sicherheitsanfälligkeit in Grafikwiedergabemodul kann Remotecodeausführung ermöglichen
Veröffentlicht: 28. Dez 2005 | Aktualisiert: 03. Jan 2006
Am Dienstag, dem 27. Dezember 2005 wurden Microsoft öffentliche Meldungen über böswillige Angriffe auf Benutzer bekannt, bei denen eine bisher unbekannte Sicherheitsanfälligkeit innerhalb des Windows Metafile-Codes (WMF) ausgenutzt wird.
Microsoft setzte sofort den Software Security Incident Response Process (SSIRP) zur Untersuchung von Sicherheitsvorfällen in Kraft, um den Angriff zu analysieren und zu bewerten sowie eine technische Lösung und Anweisungen für Benutzer bereitzustellen. Außerdem wurde im Rahmen dieses Prozesses Kontakt mit Virenschutzpartnern und Behörden aufgenommen.
Die technischen Hintergründe des Angriffs wurden bis zum 28. Dezember 2005 ermittelt und Microsoft veranlasste umgehend die Entwicklung eines Sicherheitsupdates für die WMF-Sicherheitsanfälligkeit.
Die Entwicklung des Sicherheitsupdates für diese Sicherheitsanfälligkeit ist inzwischen abgeschlossen. Das Sicherheitsupdate wird zurzeit lokalisiert und auf Qualität und Anwendungskompatibilität getestet. Microsoft plant, das Update am Dienstag, den 10. Januar 2006 im Rahmen seiner monatlichen Security Bulletins zu veröffentlichen. Diese Veröffentlichung hängt vom erfolgreichen Abschluss der Qualitätstests ab.
Wenn die im Update empfohlenen Maßnahmen unsere rigorosen Qualitätstests bestehen, wird das Update weltweit gleichzeitig in 23 Sprachen und für alle betroffenen Versionen von Windows veröffentlicht. Das Update wird im Microsoft Download Center sowie über Microsoft Update und Windows Update zur Verfügung stehen. Benutzer, die die automatischen Updates unter Windows verwenden, erhalten die Fehlerbehebung automatisch.
Infolge des Kunden-Feedbacks zu Sicherheitsupdates müssen alle Microsoft-Sicherheitsupdates eine Reihe von Qualitätstests bestehen, darunter Tests durch Drittanbieter. Auf diese Weise wird sichergestellt, dass sich die Updates unter minimalen Ausfallzeiten für alle Versionen und Sprachversionen der Windows-Plattform wirkungsvoll einsetzen lassen.
Microsoft hat die Angriffsversuche unter Ausnutzung der WMF-Sicherheitsanfälligkeit seit der letzten Woche sowohl über interne Ressourcen als auch über Partner innerhalb der Branche sowie die Behörden eingehend beobachtet. Obwohl das Problem ernst zu nehmen ist und böswillige Angriffe stattfinden, weisen Informationsquellen bei Microsoft darauf hin, dass diese Angriffe nicht weit verbreitet sind.
Außerdem geben Virenschutzhersteller an, dass sich Angriffe unter Ausnutzung der WMF-Sicherheitsanfälligkeit durch aktualisierte Antivirussignaturen wirkungsvoll umgehen lassen.
Die Benutzer werden aufgefordert, ihre Antivirussoftware weiterhin aktuell zu halten. Auch die Software Microsoft Windows AntiSpyware (Betaversion) kann Ihr System vor Spyware und anderen unerwünschten, potenziell schädlichen Programmen schützen. Sie können außerdem die Website Windows Live Safety Center besuchen und dort die Option zum vollständigen Überprüfen des Computers ausführen, um schädliche Programme, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte, zu ermitteln und gegebenenfalls zu entfernen. Wir werden diesen öffentlichen Meldungen auch weiterhin nachgehen.
Wenn Sie Windows OneCare-Benutzer sind und Ihr aktueller Status „grün“ lautet, ist Ihr System bereits vor allen bekannten schädlichen Programmen geschützt, über die die Sicherheitsanfälligkeit ausgenutzt werden könnte.
Benutzer, die bewährte Methoden zum sicheren Browsen anwenden, dürften von einer Ausnutzung der WMF-Anfälligkeit nicht betroffen sein. Wir empfehlen, keine unbekannten oder nicht vertrauenswürdigen Websites zu besuchen, die manipulierten Code enthalten könnten.
Microsoft empfiehlt, beim Öffnen von E-Mail-Nachrichten aus unbekannter Quelle und beim Klicken auf darin enthaltene Links vorsichtig vorzugehen. Es ist uns zwar kein Fall bekannt, bei dem ein einfaches Öffnen einer E-Mail zu einem Angriff geführt hat, jedoch könnte ein Benutzer durch Klicken auf einen Link innerhalb einer E-Mail auf eine manipulierten Website geleitet werden. Weitere Informationen zum sicheren Browsen finden Sie auf der Website Trustworthy Computing.
Der absichtliche Einsatz von Angreifercode jeglicher Form mit dem Ziel, Computerbenutzern Schaden zuzufügen, wird strafrechtlich verfolgt. Microsoft arbeitet daher bei der Untersuchung solcher Fälle auch weiterhin eng mit den jeweiligen Behörden zusammen. Kunden, die befürchten, angegriffen worden zu sein, können sich an das örtliche FBI-Büro wenden oder ihre Beschwerde auf der Website Internet Fraud Complaint Center melden. Kunden außerhalb den USA können sich an die nationale Strafverfolgungsbehörde ihres Landes wenden.
Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und eine Virenschutzsoftware zu installieren. Mehr über diese drei Vorsichtsmaßnahmen erfahren Sie auf der Website Schützen Sie Ihren PC.
Benutzer, die befürchten, von diesem Problem betroffen zu sein, können sich an die Product Support Services wenden. Die Support Services sind in Nordamerika und Kanada kostenlos unter der PC-Sicherheits-Hotline erreichbar (1866-PCSAFETY). Kunden außerhalb Nordamerikas und Kanadas können die Nummer der kostenlosen Virus-Hotline über die Microsoft-Website „Hilfe und Support“ in Erfahrung bringen.
Schadensbegrenzende Faktoren:
•
Für ein Angriffsszenario im Web muss ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Ein Angreifer kann Benutzer zum Besuch einer Website nicht zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken.
•
•Zum Ausnutzen der vorliegenden Sicherheitsanfälligkeit über einen E-Mail-basierten Angriff müsste der Benutzer auf einen Link in einer manipulierten E-Mail klicken oder einen Dateianhang öffnen. Benutzer sollten sich vor Augen führen, dass ein manipulierter Dateianhang nicht unbedingt eine .wmf-Datei sein muss. Es könnte sich auch um die Formate .jpg, .gif oder ein anderes Format handeln. Es sind zurzeit keine Dateianhänge bekannt, über die ein Angriff durch einfaches Lesen einer E-Mail ausgelöst werden könnte.
•
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann nur die gleichen Benutzerberechtigungen wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit geringeren Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerberechtigungen arbeiten.
•
Internet Explorer unter Windows Server 2003, Windows Server 2003 Service Pack 1, Windows Server 2003 mit Service Pack 1 für Itanium-basierte Systeme und Windows Server 2003 x64 Edition wird standardmäßig in einem eingeschränkten Modus ausgeführt, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dadurch wird die Sicherheitsanfälligkeit im Hinblick auf die E-Mail-Nachricht verringert, obwohl der Benutzer weiterhin gefährdet ist, wenn er auf einen Link klickt. Unter Windows Server 2003 erfolgt in Microsoft Outlook Express das Lesen und Senden von Nachrichten standardmäßig im Nur-Text-Format. Beim Beantworten einer E-Mail-Nachricht in einem anderen Format wird die Antwort im Nur-Text-Format verfasst. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Abschnitt „Häufig gestellte Fragen (FAQs)“.
Zuletzt bearbeitet:
