Thema: Sicherheitslücke in Active-X-Control

[SiLæncer]

In XMLHTTP-ActiveX-Control ist schon wieder ein Fehler aufgetaucht. Angreifer können auf betroffenen Windows-Systemen beliebigen Code unter den Rechten eines Nutzers ausführen können, der eine entsprechend präparierte Website mit dem Internet Explorer besucht. Das Problem betrifft Microsofts XML Core Services 4.0 (MSXML).

Der französische FrSIRT hat den Fehler an einem aktuell gepatchten Windows XP SP2 mit MSXML 4.0 nachvollziehen können und stuft ihn als kritisch ein. Betroffen seien aber auch Windows 2000 SP4 und Server 2003 mit oder ohne SP1.

Microsoft hat ein Security Advisory veröffentlicht und ein Sicherheits-Update angekündigt. Bis dahin kann man sich durch Abschalten von ActiveX behelfen. Allerdings hat es Microsoft versäumt, klarzustellen, welche Systeme genau betroffen sind, also Version 4.0 von MSXML installiert haben. Wer sicher gehen möchte, sei auf die Versionsliste verwiesen.

Quelle : www.heise.de

[SiLæncer]

Die bislang ungepatchte Lücke im WMIObjectBroker-ActiveX-Control wird nach Berichten von Microsoft und des Internet Storm Center bereits vermehrt ausgenutzt. Laut Hinweisen von TippingPoint an das ISC soll es bereits eine große Zahl von Angriffen aus Russland geben, die versuchen, Besucher mit dem Trojaner Galopoper.A zu infizieren. Wie erfolgreich sie dabei sind, ist unklar, denn das verwundbare Control ist eine Komponente (WmiScriptUtils.dll) von Visual Studio 2005 – normale Heimanwender sind also von dem Problem nicht betroffen. Zudem ist das Control standardmäßig nicht aktiviert, sodass auch Entwickler nicht unbedingt Gefahr laufen, beim Besuch präparierter Seiten infiziert zu werden.

Ähnlich verhält es sich auch mit dem am vergangenen Wochenende gemeldeten Fehler im XML-Core-Services-ActiveX-Control. Dort ist nur das mit Version 4.0 mitgelieferte Control verwundbar, was aber auf Standard-Windows-Rechnern nicht zu finden sein sollte. Üblicherweise benutzt der Internet Explorer 6 die XML-Core-Services (MSXML) in Version 3.0, wie sie auf normalen XP-Installationen zu finden sind. Leider gibt auch Microsoft nicht genau an, in welchen Produkten MSXML 4.0 enthalten ist. Selbst aus Microsofts Übersicht der Versionen ist nicht zu erkennen, wo MSXML 4.0 zum Einsatz kommt. Wahrscheinlich wird es mit dem .NET Framework 2.0 mit installiert. Auch in der Works Suite 2005 Standard Edition, Visual FoxPro 8.0 sowie der Windows Small Business Server 2003 Premium Edition ist es enthalten. Zudem kann es in Anwendungen enthalten sein, die mit Visual Basic 6.0 oder Visual C++ 6.0 erstellt wurden.

Aktuell ist bereits MSXML 6.0. Zudem sind mehrere parallele Installationen verschiedender Versionen der XML-Core-Services erlaubt. Wer sichergehen will, sucht auf dem PC nach Dateien, die im Namen "msxml" enthalten und schaut sich die Versionsnummer an. Alternativ kann man auch die Registry danach durchsuchen, ob das Control registriert ist:

reg query "HKEY_CLASSES_ROOT\CLSID" /s | findstr 88D969C5-F192-11D4-A65F-0040963251E5

Im Zweifel hilft es, bis zum Erscheinen von Sicherheitsupdates, ActiveX komplett zu deaktivieren oder die genannten Controls über das Setzen ihrer Kill-Bits abzuschalten. Folgender Codeschnipsel erledigt dies laut Microsoft für das WMI-Control (als wmi.reg speichern und ausführen):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}] "Compatibility Flags"=dword:00000400

Beim XML-Control macht es dieser Registry-Patch (als xml.reg speichern und ausführen):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{88d969c5-f192-11d4-a65f-0040963251e5}] "Compatibility Flags"=dword:00000400

Siehe dazu auch:

    * Vulnerability in Visual Studio 2005 Could Allow Remote Code Execution, Warnung von Microsoft
    * Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution, Warnung von Microsoft


Quelle und Links : http://www.heise.de/newsticker/meldung/80770

[SiLæncer]

Parallel zu dem gestrigen Sicherheits-Update hat Microsoft noch einen Hinweis auf eine kritische Lücke im ActiveX-Control des standardmäßig in Windows XP enthaltenen Flash Player 6.x hingewiesen. Die Lücke soll es Angreifern ermöglichen, durch präparierte Webseiten den PC eines Besuchers mit Schädlingen zu infizieren. Ein funktionierendes Update gibt es von Microsoft nicht, stattdessen empfiehlt der Hersteller, den alten Player zu deinstallieren und die aktuelle Version (10.0.42.34) von Adobe zu installieren.

Ein von Adobe zum Download angebotenes Tool soll bei der Deinstallation der Plug-ins und des ActiveX-Controls helfen. In der Praxis genügt es aber, die aktuelle Version zu installieren – sie überschreibt das fehlerhafte ActiveX-Control einfach.

Wer denkt, dass man die Version 6 eigentlich auf keinem Rechner mehr antreffen dürfte, wird von der Auswertung des Update-Checks auf heise Security eines Besseren belehrt. Bei den in den ersten 30 Tagen durchgeführten rund 140.000 Tests war fast 16.000-mal der verwundbare (Macromedia) Flash Player 6 zu finden. Außer in Windows XP hat Microsoft in keiner anderen Windows-Version den Flash Player ab Werk integriert.

Secunia hat zu Microsofts Sicherheitshinweis einen etwas erhellenden Fehlerbericht veröffentlicht, in dem insbesondere die Chronik der Reaktion auf die Lücke festgehalten ist. Demnach hat Secunia Microsoft bereits am 18. Oktober 2007 über die Lücke informiert. Microsoft hat zwar mit dem Update MS06-069 versucht, das Problem zu beheben, laut Secunia jedoch erfolglos. Dann folgte ein rund zwei Jahre währender Informationsaustausch zwischen Secunia, Microsoft und Adobe – letztlich jedoch ohne ein konkretes Ergebnis, wenn man von dem jetzigen Hinweis, den Player zu deinstallieren, absieht. Adobe hat den Support für Version 6 ohnehin im Jahr 2006 eingestellt. Vermutlich hat Microsoft gehofft, dass Anwender sich selbstständig aktuellere Versionen installieren.

Laut Secunia enthält das alte ActiveX-Control noch weitere kritische Lücken, die in neueren Version längst behoben sind.

Quelle : www.heise.de