[swissboy]

Bei heise findet sich eine recht gute Beschreibung was genau mit den einzelnen Updates behoben wurde:

Zitat

Microsoft Patch-Day: Sechs Windows-Updates im August

Wie angekündigt stellt Microsoft sechs Updates bereit. Die mit den Patches beseitigten Lücken im Internet Explorer, dem Plug&Play-Code und im Drucksystem sind von Microsoft als kritisch eingestuft. Das Update der Telefoniedienste klassifiziert Microsoft als wichtig, während die Lücken in Kerberos und im Remote-Desktop-Protokoll nur die Einstufung "mittel" erhalten. 

Das Update MS05-038 für den Internet Explorer stopft eigentlich drei Lücken. Das von Sec-Consult entdeckte Problem mit COM-Objekten, die im Internet-Explorer gestartet werden, beschränkte sich wie vermutet nicht auf die Java-VM. Für vierzig weitere COM-Objekte setzen die Redmonder jetzt das Kill-Bit und verhindern damit den Aufruf aus dem Browser. Auch die von Zalewski entdeckten Probleme bei der Behandlung kaputter Bilder soll das Update beseitigen. Und schließlich behebt der Patch noch eine nicht weiter spezifizierte Verletzung der Cross-Domain-Sicherheitsregeln.

Ein Pufferüberlauf im Plug&Play-Subsystem lässt sich laut MS05-039 nur auf Windows 2000 ohne Authentifizierung übers Netz ausnutzen, bei Windows XP SP2 und Windows Server stuft Microsoft das Problem als lokal und damit weniger schwerwiegend ein.

Ähnliches gilt für einen Pufferüberlauf im Druckerwarteschlangendienst. MS05-043 zufolge führt er bei Windows XP Service Pack 2 und Windows Server 2003 nur zum Absturz des Druckdienstes, lässt sich aber nicht wie bei Windows 2000 und früheren XP-Versionen ausnutzen, um fremden Code auszuführen.

Im Telephony Application Programming Interface (TAPI) kann es ebenfalls zu einem Pufferüberlauf kommen, da Benutzerangaben ohne Längenprüfung kopiert werden. Auch hier besteht das höchste Risiko auf Windows-2000-Systemen, wo sich die Lücke unter Umständen übers Internet ausnutzen lässt.

Die bereits gemeldete Schwachstelle im Remote Desktop Protokoll hingegen führt laut Microsoft schlimmstenfalls zu einem Neustart des Systems. Wer den Remote Desktop, die Remote-Unterstützung oder Terminal Services einsetzt, sollte jedoch beachten, dass diese nicht ausreichend gegen das Ausspähen von Passwörtern gesichert sind.

Schließlich beseitigt Microsoft noch einen Fehler im Authentifizierungsdienst Kerberos. Ob das mit dem kürzlich gemeldeten Problem der Kerberos-Implementierung des MIT zusammenhängt, ist dem Bulletin MS05-042 nicht zu entnehmen.

Quelle heise online

Dieser Beitrag wurde von swissboy bearbeitet: 10. August 2005 - 01:47

[swissboy]

Stellungnahme von Microsoft zum defekten kumulativen Sicherheitsupdate für den Internet Explorer MS05-038 / KB896727:

Zitat

Shortly after we released the updates this morning we found that several of the Internet Explorer updates provided only to the Download Center were corrupted, breaking the digital signature and preventing them from installing. The updates available on Microsoft Update and Windows Update are not affected and are installing properly.  We've identified the problem, removed the affected updates from the Download Center and will repost them shortly to correct the issue.

Quelle IEBLOG

Dieser Beitrag wurde von swissboy bearbeitet: 10. August 2005 - 01:49

[shogun03]

Zitat

This is a “Critical” update and affects all supported IE configurations from IE5.01 to IE6 for XPSP2 and IE6 for Server 2003 Service Pack 1. All IE security updates are cumulative and contain all previously released patches for each version of IE. In addition, these fixes were included and shipped along with Windows Vista Beta1 and IE7 Beta1.

das war mir schon klar nachdem ich ein paar DLLs untersucht hatte das dieses update KB896727 nicht eingespielt werden kann , wusste aber nicht das die fixes schon inside waren.

Dieser Beitrag wurde von shogun03 bearbeitet: 10. August 2005 - 05:13

[swissboy]

Erste Exploits für neue Microsoft-Lücken aufgetaucht

Zitat

Offenbar bis zur Veröffentlichung der Microsoft Security Bulletins zurück gehaltene Exploits sind inzwischen publiziert worden. Die Ausnutzung einer Sicherheitslücke (Exploit) im Internet Explorer, die im Security Bulletin MS05-038 behandelt wird, ermöglicht das Öffnen einer Hintertür. Die Schwachstelle im Remote Desktop Protocol (RDP) kann ausgenutzt werden, um Windows zum Absturz zu bringen.

Das Sicherheitsportal FRSIRT veröffentlicht so genannte Proof-of-Concept- oder Demo-Exploits. Sie sollen belegen, dass die Sicherheitslücken tatsächlich ausgenutzt werden können. Sie sind jedoch in der veröffentlichten Form meist nicht unmittelbar geeignet, um Angriffe auszuführen.

Die Sicherheitslücke im Internet Explorer, die von dem ersten Exploit ausgenutzt wird, ist eine von drei, die mit dem kumulativen Sicherheits-Update "896727" geshlossen werden kann. Durch einen Pufferüberlauf kann eingeschleuster Code zur Ausführung gebracht werden. Der Demo-Exploit benutzt dazu bereits in früheren Exploits verwendeten Shell-Code, der eine Hintertür auf dem Port 28876 öffnet.

Die RDP-Schwachstelle (MS05-041) kann durch speziell konstruierte Anfragen an den Port 3389 ausgenutzt werden, um Windows zum Absturz zu bringen oder zu einem Neustart zu veranlassen. Eine Möglichkeit zum Einschleusen schädlichen Codes wird mit dem Demo-Exploit nicht aufgezeigt.

Quelle PC-Welt

Dieser Beitrag wurde von swissboy bearbeitet: 10. August 2005 - 16:31

[swissboy]

Die (korrigierten) kumulativen Sicherheitsupdates für den Internet Explorer MS05-038 / KB896727 sind ab sofort wieder verfügbar!

Download-Links in Beitrag #1.

Dieser Beitrag wurde von swissboy bearbeitet: 10. August 2005 - 18:14

[funny__bunny]

danke.

[swissboy]

Erste Exploits nutzen Plug&Play-Lücke in Windows aus
Neues Microsoft Security Advisory (899588)

Zitat

Zwei kürzlich aufgetauchte Exploits zum Ausnutzen der Plug&Play-Sicherheitslücke in Windows (MS05-039) hat einige Hersteller zur Veröffentlichung gesonderter Warnungen veranlasst. So hat Microsoft zusätzlich zum Security Bulletin vom Dienstag nun noch ein Security Advisory herausgegeben. Darin wird auf den Schadcode hingewiesen, mit dem sich über das Netzwerk die Kontrolle über einen ungepatchten Rechner gewinnen lässt. 

Besonders Windows 2000 ist durch den Exploit bedroht, da dort für einen erfolgreichen Angriff keine vorherige Authentifizierung notwendig ist. Zwar ist die Lücke auch in Windows XP und Server 2003 enthalten, dort muss der Eindringling aber zusätzlich noch einen Anmeldenamen und ein Passwort erraten.

Die bislang kursierenden Exploits widmen sich daher auch nur Windows 2000. Allerdings relativiert sich die Bedrohung, da Windows 2000 eigentlich eher im Unternehmensbereich Einsatz findet. Die Netze sind dort in der Regel durch eine Firewall vom Internet abgeschottet, sodass ein Angreifer gar keinen Kontakt mit verwundbaren Rechnern aufbauen kann.

Allerdings ist ein Angriff von innen nicht auszuschließen. Bereits bei Sasser und Lovsan wähnten sich Firmenanwender fälschlicherweise auf der sicheren Seite, bis die Würmer durch Firmenlaptops einschleppt wurden. Derzeit sind allerdings noch keine Angriffe mit den neuen Exploits zu verzeichnen. Anwender sollten aber auf jeden Fall die Patches installieren.

Der Sicherheitsdienstleister eEye warnt ebenfalls vor den Exploits. Einer davon öffnet nach einem erfolgreichen Angriff eine Backdoor auf Port 8721. eEye stellt das kostenlose Tool Retina UMPNP Scanner zu Verfügung. Damit können Administratoren über das Netzwerk überprüfen, welche Rechner noch verwundbar sind. Allerdings erfordert der Download eine vorherige Registration.

Bislang unbestätigten Gerüchten zufolge existieren für die Lücken im Druckerspooler (MS05-40) und in Kerberos (MS05-42) bereits auch schon Exploits.

Quelle heise online

Microsoft Security Advisory Security Advisory 899588

[swissboy]

Plug&Play-Wurm Zotob im Internet unterwegs

Zitat

Ein neuer Wurm namens Zotob nutzt die letzte Woche bekannt gewordene Schwachstelle der Windows Plug&Play-Schnittstelle, um Windows-Systeme übers Netz zu infizieren. Microsoft hat letzte Woche einen Patch für dieses Problem bereit gestellt; bereits wenige Tage danach sind erste Exploits veröffentlicht worden. Gefährdet sind vor allem ungepatchte Windows-2000-Systeme, weil hier der Zugriff auf die Plug&Play-Dienste anonym übers Netz möglich ist.

Windows-XP-Systeme mit Service Pack 2 und Windows 2003 Server erfordern dazu laut Microsoft eine erfolgreiche Authentifizierung als Administrator, bei Windows XP mit Service Pack 1 genügt der Zugang zu einem eingeschränkten Benutzerkonto. Diese Systeme kann Zotob folglich nicht infizieren, ohne beispielsweise Zugangsdaten zu erraten.

Zotob verbreitet sich über Pakete an den TCP Port 445. Bei Erfolg nimmt er via FTP Kontakt zu dem Rechner auf, von dem er kommt, und lädt weiteren Schadcode nach, den er dann als haha.exe speichert und ausführt. Des weiteren öffnet er einen Kanal ins IRC, über den er sich fernsteuern lässt, um beispielsweise weitere Module nachzuladen. Im System verewigt sich der Wurm in der Registry unter

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

mit dem Schlüssel "WINDOWS SYSTEM" = "botzor.exe", sodass er bei jedem Systemstart aktiviert wird. Des weiteren leitet Zotob Zugriffe auf diverse Internet-Adressen über Einträge in der Hosts-Datei auf das Loopback-Device um und verhindert damit Updates von Antiviren-Software. Schließlich enthält der zur Mytob-Familie gehörende Wurm mit

MSG to avs: the first av who detect this worm
will be the first killed in the next 24hours!!!

eine Drohung gegen Antiviren-Hersteller, die beispielsweise F-Secure mit der nüchternen Feststellung quittiert, dass sie den Wurm mit dem Update 2005_08_14-01 erkennen.

Das Szenario ist zwar vergleichbar zum Sasser-Wurm, mit einer ähnlichen Epedemie rechnen aber zum Beispiel die Virenexperten von F-Secure nicht, da Zotob Windows-XP-Systeme mit SP2 nicht infizieren könne. Administratoren und Anwender sollten sich jedoch keinesfalls auf den Schutz ihrer Firewall verlassen, die Zugriffe über TCP Port 445 blockiert, sondern schnellst möglichst den Microsoft-Patch einspielen. Frühere Würmer haben nachdrücklich demonstriert, dass sonst ein beispielsweise über ein infiziertes Notebook ins Firmennetz eingeschleppter Wurm beträchtlichen Schaden anrichten kann.

Siehe dazu auch:
- Beschreibung zu Zotob.A von F-Secure
- Beschreibung zu Zotob.A von Symantec
- Beschreibung zu Zotob.worm von McAfee
- What You Should Know About Zotob von Microsoft
- Beschreibung der Lücke und Patch im Microsoft Security Bulletin MS05-039

Quelle heise online


UPDATE:
Es gibt inzwischen auch eine WinFuture-News zu diesem Thema:
http://www.winfuture...news,21863.html

Dieser Beitrag wurde von swissboy bearbeitet: 15. August 2005 - 21:00