Sicherheitsbulletin

Microsoft Security Bulletin MS00-084 – Kritisch

Patch verfügbar für 'Indizierungsdienste cross Site Scripting'

Veröffentlicht: 02. November 2000 | Aktualisiert: 23. Juni 2003

Version: 2.1

Ursprünglich veröffentlicht: 02. November 2000
Aktualisiert: 23. Juni 2003

Zusammenfassung

Microsoft hat einen Patch veröffentlicht, der eine Sicherheitslücke in Microsoft® Indexing Services für Windows 2000 beseitigt. Diese Sicherheitsanfälligkeit könnte es einem böswilligen Websitebetreiber ermöglichen, eine andere Website als Mittel zum Angriff auf Benutzer zu missbrauchen.

Nach der Veröffentlichung dieses Bulletins wurde festgestellt, dass ein verfügbares Paket für die Version des Indizierungsdiensts, die mit dem NT 4.0 Option Pack ausgeliefert wurde, nie veröffentlicht wurde. Das Bulletin wird aktualisiert, um die Downloadspeicherorte für diese Version des Fixs einzuschließen.

Betroffene Software:

• Microsoft Indexing Services für Windows 2000
• Microsoft Indexing Services für Windows NT 4.0

Hinweis: Der Indizierungsdienst wird mit Windows 2000 ausgeliefert und installiert, ist jedoch nicht standardmäßig aktiviert. Benutzer, die Webserver unter Windows 2000 ausführen, die die Indizierungsdienste aktiviert haben, werden aufgefordert, diesen Patch anzuwenden.

Der Indizierungsdienst für Windows NT 4.0 wird mit dem NT Option Pack ausgeliefert und ist standardmäßig nicht installiert oder aktiviert.

Sicherheitsrisikobezeichner:CVE-2000-0942

Allgemeine Informationen

Technische Details

Technische Beschreibung:

Am 20. Februar 2000 veröffentlichte Microsoft und das CERT Coordination Center Informationen zu einer neu identifizierten Sicherheitslücke, die sich auf alle Webserverprodukte auswirkt. Diese Sicherheitsanfälligkeit, die als cross-Site Scripting (CSS) bezeichnet wird, führt dazu, dass Webanwendungen Eingaben nicht ordnungsgemäß überprüfen, bevor sie in dynamischen Webseiten verwendet werden. Wenn ein böswilliger Websitebetreiber einen Benutzer auf seine Website locken konnte und eine Drittanbieterwebsite identifiziert hatte, die anfällig für CSS war, könnte er möglicherweise die Sicherheitsanfälligkeit verwenden, um skript "injizieren" in eine Webseite, die von der anderen Website erstellt wurde, die dann an den Benutzer übermittelt würde. Der Nettoeffekt wäre, dass das Skript des böswilligen Benutzers auf dem Computer des Benutzers ausgeführt wird, indem die Vertrauensstellung verwendet wird, die die andere Website gewährt hat.

Die Sicherheitsanfälligkeit kann sich auf jede Software auswirken, die auf einem Webserver ausgeführt wird, Benutzereingaben akzeptiert und verwendet, um Webseiten ohne ausreichende Überprüfung zu generieren. Microsoft hat eine Indexing Service-Komponente (CiWebHitsFile) identifiziert, die, wenn sie von einer speziell gestalteten URL aufgerufen wird, anfällig für dieses Szenario ist.

Häufig gestellte Fragen

Worum geht es in diesem Bulletin?
Microsoft Security Bulletin MS00-084 kündigt die Verfügbarkeit eines Patches an, das eine Sicherheitsanfälligkeit in Microsoft® Indexing Services für Windows 2000 beseitigt. Microsoft ist bestrebt, die Informationen von Kunden zu schützen, und stellt das Bulletin bereit, um Kunden über die Sicherheitsanfälligkeit und ihre Möglichkeiten zu informieren.

Was ist der Umfang der Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit könnte es einem böswilligen Benutzer ermöglichen, Code auf dem Computer eines anderen Benutzers in der Gestalt einer Drittanbieterwebsite auszuführen. Ein solcher Code kann jede Aktion auf dem Computer des Benutzers ausführen, die die Website eines Drittanbieters ausführen darf. Darüber hinaus könnte der Code dauerhaft erstellt werden, sodass der Code, wenn der Benutzer später wieder zur Website zurückkehrte, wieder ausgeführt wird. Die Sicherheitsanfälligkeit konnte nur ausgenutzt werden, wenn der Benutzer auf einen Hypertextlink geklickt hat, entweder in einer HTML-E-Mail oder auf der Website eines böswilligen Benutzers – der Code konnte nicht in eine vorhandene Sitzung "eingefügt" werden. Der im Bulletin bereitgestellte Patch sollte von Webserveradministratoren angewendet werden und verhindert, dass ihre Websites als Website von Drittanbietern verwendet Erwähnung oben verwendet werden.

Was verursacht die Sicherheitsanfälligkeit?
Die von Indexing Services bereitgestellte CiWebHitsFile-Komponente überprüft nicht ordnungsgemäß alle Eingaben, bevor sie verwendet werden, und ist daher anfällig für cross-Site Scripting (CSS).

Was ist der Indizierungsdienst?
Der Indizierungsdienst ist eine Suchmaschine, die in Internetinformationsserver und Windows 2000 integriert ist. Sie ermöglicht Benutzern die Durchführung von Volltextsuchen von Onlinewebsites mithilfe ihrer Browser. Im Gegensatz zu vielen anderen Suchmaschinen können Indizierungsdienste Word-, Excel- und PowerPoint-Dokumente sowie HTML-Dokumente durchsuchen.

Wird der Indizierungsdienst standardmäßig installiert und ausgeführt?
Nein In Windows 2000 ist die Indizierungsdienste standardmäßig installiert, der Dienst wird jedoch erst gestartet, wenn der Administrator ihn explizit startet.

Was ist websiteübergreifendes Skripting?
CSS ist eine kürzlich entdeckte Sicherheitslücke, die es einem böswilligen Benutzer ermöglicht, Code in die Sitzung eines Benutzers mit einer Website "einzufügen". Im Gegensatz zu den meisten Sicherheitsrisiken gilt CSS nicht für die Produkte eines einzelnen Anbieters . Stattdessen kann es sich auf jede Software auswirken, die auf einem Webserver ausgeführt wird und keine defensiven Programmierpraktiken befolgt. Anfang 2000 arbeitete Microsoft und das CERT Coordination Center zusammen, um die Softwareindustrie über das Problem zu informieren und eine branchenweite Antwort darauf zu führen. Microsoft veröffentlichte umfangreiche Informationen zu CSS, einschließlich Informationen für Entwickler, wie sie ihren Code auf potenzielle Sicherheitsrisiken überprüfen können. Microsoft hat eine bestimmte Instanz in indexing Services identifiziert und korrigiert, bei der die ordnungsgemäße Überprüfung nicht durchgeführt wurde. Der im Bulletin bereitgestellte Patch beseitigt diesen Fehler.

Wie funktioniert CSS?
Eine gute Beschreibung steht in Form einer Geschäftsleitungszusammenfassung und einer FAQ zur Verfügung. Hier erfahren Sie jedoch, wie CSS funktioniert. Angenommen, Website A bietet eine Suchfunktion, mit der ein Benutzer ein Wort oder einen Ausdruck eingeben kann, nach dem er suchen möchte. Wenn der Benutzer "Banane" als Suchbegriff eingegeben hat, würde die Website nach dem Ausdruck suchen und dann eine Webseite generieren, die besagt, dass "Es tut mir leid, aber ich kann das Wort "Banane" nicht finden. Die Webseite würde an seinen Browser gesendet, wodurch die Seite dann analysiert und angezeigt wird. Angenommen, anstatt "Banane" als Suchbegriff einzugeben, hat er etwas wie "Banane ‹SCRIPT› ‹Alert('Hello');› ›/SCRIPT›" eingegeben. Wenn die Suchfunktion geschrieben wurde, um blind den suchbegriff zu verwenden, der bereitgestellt wird, würde es nach der gesamten Zeichenfolge suchen und eine Webseite erstellen, die besagt: "Leider kann ich das Wort "Banane ‹SCRIPT› ›Warnung('Hallo');› ›››‹/SKRIPT›" nicht finden. Der gesamte Text, der mit "‹SCRIPT›" beginnt und mit "‹/SCRIPT›" endet, ist jedoch programmgesteuert, sodass beim Verarbeiten der Seite ein Dialogfeld vom Browser des Benutzers angezeigt wird und "Hello" sagt. Bisher hat dieses Beispiel nur gezeigt, wie ein Benutzer Code von einem Webserver "weiterleiten" und ihn auf seinem eigenen Computer ausführen kann. Das ist keine Sicherheitslücke. Es ist jedoch möglich, dass ein böswilliger Websiteoperator diese Sicherheitsanfälligkeit aufruft, die auf dem Computer eines Benutzers ausgeführt wird, der seine Website besucht. Wenn Die Website B von einem böswilligen Benutzer betrieben wurde und er den Benutzer dazu verleiten konnte, seine Website zu besuchen und auf einen Link zu klicken, könnte seine Website zu Website A wechseln, die Suchseite mit bösartigem Skript ausfüllen und im Namen des Benutzers übermitteln. Die resultierende Seite würde zum Benutzer zurückkehren (da der Benutzer, nachdem er auf den Link geklickt hat, letztendlich der Antragsteller war), und der Prozess auf dem Computer des Benutzers. Das Endergebnis wäre, dass das Skript des böswilligen Benutzers auf dem Computer des Benutzers ausgeführt würde.

Was kann das Skript auf dem Computer des Benutzers tun?
Dies hängt von den Berechtigungen der Website A auf dem Computer des Benutzers ab. Wenn sowohl Website A als auch B genau die gleichen Berechtigungen auf dem Computer eines bestimmten Benutzers hatten, würde dies keine Vorteile verleihen. Wenn der Benutzer die Website A jedoch als vertrauenswürdige Website festgelegt hat und ihm auf seinem Computer größere Berechtigungen gewährt hat, kann der Code des böswilligen Benutzers diese erhöhten Berechtigungen nutzen.

Wäre es wichtig, welchen Browser der Benutzer verwendet hat?
Nein Der wichtigste Punkt hier ist, dass das Problem mit der Software auf dem Webserver liegt, nicht mit dem Browser. Die Sicherheitsanfälligkeit kann möglicherweise jederzeit auftreten, wenn Software auf dem Webserver blind alle von ihr bereitgestellten Eingaben verwendet. Stattdessen sollte es alle Eingaben herausfiltern, die nicht geeignet sind. Im obigen Beispiel sollte die Suchmaschine alle Zeichen entfernen, mit denen Skript in den Suchvorgang eingefügt werden kann, z. B. "". Eine vollständige Beschreibung der Zeichen, die gefiltert werden sollen, finden Sie im Knowledge Base-Artikel Q252985.

Ich führe eine Website aus. Im obigen Beispiel würde mir die Website meine sein?
Ihre Website wäre Website A. Die Sicherheitsanfälligkeit würde Ihre Website nicht direkt gefährden – d. h., der böswillige Benutzer würde nicht versuchen, Ihre Website zu kompromittieren, und die Sicherheitsanfälligkeit würde es ihm nicht erlauben, darin Inhalte hinzuzufügen, zu ändern oder zu löschen. Er könnte Ihre Website jedoch als Mittel zum Angriff auf Benutzer verwenden.

Also muss dieser Patch auf Servern installiert werden, nicht auf Browsern?
Ja. Kunden, die ein betroffenes Produkt verwenden, sollten den Patch installieren, um zu verhindern, dass ihre Website in einem CSS-Szenario verwendet wird.

Was ist mit der anderen Software, die auf meinem Webserver ausgeführt wird? Könnte es für CSS verwendet werden?
Jede Software, die auf einem Webserver ausgeführt wird, kann in diesem Fall anfällig für CSS sein:

• erfragt Eingaben des Benutzers.
• verwendet die Eingabe blind, ohne Gültigkeitsprüfungen durchzuführen, und
• integriert die Eingabe in eine dynamische Webseite, die an den Benutzer gesendet wird

Microsoft empfiehlt Kunden, die Websites ausführen, kontakt mit den Lieferanten aller Software auf ihren Servern zu kontaktieren und zu überprüfen, ob der Anbieter sie auf CSS-Sicherheitsrisiken überprüft hat.

Wer Sollte der Patch verwendet werden?
Microsoft empfiehlt, den Patch auf jedem Webserver zu installieren, auf dem Indexdienste für Windows 2000 aktiviert sind.

Was macht der Patch?
Der Patch beseitigt die Sicherheitsanfälligkeit, indem alle an den Indizierungsdienst gesendeten Daten ordnungsgemäß überprüft werden.

Wo erhalte ich den Patch?
Der Downloadspeicherort für den Patch wird im Abschnitt "Patchverfügbarkeit" des Sicherheitsbulletins bereitgestellt.

Gewusst wie den Patch verwenden?
Der Knowledge Base-Artikel enthält detaillierte Anweisungen zum Anwenden des Patches auf Ihre Website.

Wie kann ich feststellen, ob ich den Patch richtig installiert habe?
Der Knowledge Base-Artikel enthält ein Manifest der Dateien im Patchpaket. Die einfachste Möglichkeit, zu überprüfen, ob Sie den Patch ordnungsgemäß installiert haben, besteht darin, sicherzustellen, dass diese Dateien auf Ihrem Computer vorhanden sind und dieselben Größen und Erstellungsdaten aufweisen, wie im KB-Artikel gezeigt.

Was tut Microsoft mit diesem Problem?

• Microsoft hat einen Patch bereitgestellt, der die Sicherheitsanfälligkeit beseitigt.
• Microsoft hat ein Sicherheitsbulletin und diese FAQ bereitgestellt, um Kunden ein detailliertes Verständnis der Sicherheitsanfälligkeit und des Verfahrens zur Beseitigung zu bieten.
• Microsoft hat Kopien des Sicherheitsbulletins an alle Abonnenten des Microsoft Product Security Notification Service gesendet, einen kostenlosen E-Mail-Dienst, den Kunden verwenden können, um mit Microsoft-Sicherheitsbulletins auf dem neuesten Stand zu bleiben.
• Microsoft hat einen Knowledge Base-Artikel veröffentlicht, in dem die Sicherheitsanfälligkeit und das Verfahren ausführlicher erläutert werden.

Wo erhalte ich weitere Informationen zu bewährten Methoden für die Sicherheit?
Die Microsoft TechNet Security-Website ist der beste Ort, um Informationen zur Microsoft-Sicherheit zu erhalten.

Gewusst wie technischen Support zu diesem Problem erhalten?
Microsoft-Produktsupportdienstekönnen Unterstützung bei diesem oder einem anderen Produktsupportproblem bereitstellen.

Patch-Verfügbarkeit

Downloadspeicherorte für diesen Patch

• Indizierungsdienste für Windows 2000:

  https://www.microsoft.com/download/details.aspx?FamilyId=226BFD30-7127-4691-A5CB-5A9C1029AEE5& displaylang;=de

• Indizierungsdienste für NT 4.0:

  Alle außer japanisch NEC und Chinesisch - Hongkong

  Japanischer NEC

  Chinesisch - Hongkong

Weitere Informationen zu diesem Patch

Installationsplattformen: Weitere Informationen zu diesem Problem finden Sie in den folgenden Referenzen.

• Informationen zu websiteübergreifender Skripting-Sicherheitslücke, https:.
• CERT(r) Advisory CA-2000-02: Bösartige HTML-Tags, eingebettet in Clientwebanforderungen, https://www.cert.org/advisories/CA-2000-02.html
• Microsoft Knowledge Base (KB)-Artikel Q278499, </https:>https:

Weitere Informationen:

Bestätigungen

Microsoft dankeEiji "James" Yoshida für die Meldung des fehlenden Windows NT 4.0-Paketproblems an uns und arbeitet mit uns zusammen, um Kunden zu schützen.

Support: Dies ist ein vollständig unterstützter Patch. Informationen zum Kontaktieren von Microsoft-Produktsupportdiensten finden Sie unter </https:https:>.

Sicherheitsressourcen: Die Microsoft TechNet Security-Website enthält zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.

Haftungsausschluss:

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen:

• V1.0 (02. November 2000): Bulletin Created.
• V1.1 (28. Februar 2003): Aktualisierte Links im Abschnitt "Häufig gestellte Fragen".
• V2.0 (9. April 2003): Bulletin aktualisiert, um einen verfügbaren Fix für die Version des Indexdiensts widerzuspiegeln, der mit dem NT 4.0 Option Pack ausgeliefert wurde. Sie ist nicht installiert oder standardmäßig aktiviert.
• V2.1 (23. Juni 2003): Aktualisierte Links im Abschnitt "Zusätzliche Informationen".

Gebaut am 2014-04-18T13:49:36Z-07:00</https:>