Sicherheitsbulletin
Microsoft Security Bulletin MS03-024 – Wichtig
Pufferüberlauf in Windows kann zu Datenbeschädigungen führen (817606)
Veröffentlicht: 09. Juli 2003 | Aktualisiert: 19. Mai 2004
Version: 1.4
Ursprünglich veröffentlicht: 09. Juli 2003
Aktualisiert: 19. Mai 2004
Version: 1.4
Zusammenfassung
Wer sollte dieses Bulletin lesen: Kunden, die Microsoft® Windows® NT, Microsoft Windows 2000 oder Microsoft Windows XP verwenden
Auswirkungen der Sicherheitsanfälligkeit: Zulassen, dass ein Angreifer Code seiner Wahl ausführt
Maximale Schweregradbewertung: Wichtig
Empfehlung: Administratoren sollten die Installation des Patches in Betracht ziehen.
Betroffene Software:
- Microsoft Windows NT Workstation 4.0
- Microsoft Windows NT Server 4.0
- Microsoft Windows NT Server 4.0, Terminal Server Edition
- Microsoft Windows 2000
- Microsoft Windows XP
Nicht betroffene Software:
- Microsoft Windows Server 2003
Allgemeine Informationen
Technische Details
Technische Beschreibung:
Im Anschluss an die ursprüngliche Version dieses Bulletins erweiterte Microsoft die Unterstützung von Windows NT Workstation 4.0 und Windows 2000 Service Pack 2. Das vorhandene Windows NT 4.0 Server-Sicherheitsupdate wird erfolgreich auf Windows NT 4.0 Workstation installiert und wird offiziell auf dieser Betriebssystemversion unterstützt. Ein Sicherheitsupdate steht jetzt von Microsoft Product Support Services für Kunden mit Windows 2000 Service Pack 2 zur Verfügung. Wenden Sie sich an den Microsoft-Produktsupport, um das Windows 2000 Service Pack 2-Sicherheitsupdate zu erhalten.
Server Message Block (SMB) ist das Internetstandardprotokoll, das Windows zum Freigeben von Dateien, Druckern, seriellen Ports und zur Kommunikation zwischen Computern mit benannten Rohren und E-Mail-Steckplätzen verwendet. In einer vernetzten Umgebung stellen Server Dateisysteme und Ressourcen für Clients zur Verfügung. Clients stellen SMB-Anforderungen für Ressourcen und Server stellen SMB-Antworten in einem Clientserver-Anforderungsantwortprotokoll vor.
Ein Fehler besteht darin, dass der Server die Parameter eines SMB-Pakets überprüft. Wenn ein Clientsystem ein SMB-Paket an das Serversystem sendet, enthält es bestimmte Parameter, die dem Server eine Reihe von "Anweisungen" bereitstellen. In diesem Fall überprüft der Server nicht ordnungsgemäß die pufferlänge, die vom Paket festgelegt wurde. Wenn der Client eine Pufferlänge angibt, die kleiner als erforderlich ist, kann dies dazu führen, dass der Puffer überlaufen wird.
Durch das Senden einer speziell gestalteten SMB-Paketanforderung könnte ein Angreifer zu einem Pufferüberlauf führen. Wenn dies ausgenutzt wird, kann dies zu Datenbeschädigung, Systemfehlern oder im schlimmsten Fall dazu führen, dass ein Angreifer den Code seiner Wahl ausführen kann. Ein Angreifer benötigt ein gültiges Benutzerkonto und muss vom Server authentifiziert werden, um diesen Fehler auszunutzen.
Mildernde Faktoren:
- Windows Server 2003 ist von dieser Sicherheitsanfälligkeit nicht betroffen.
- Standardmäßig ist es nicht möglich, diesen Fehler anonym auszunutzen. Der Angreifer muss vor dem Versuch, ein SMB-Paket an ihn zu senden, vom Server authentifiziert werden.
- Das Blockieren von Port 139/445 an der Firewall verhindert die Möglichkeit eines Angriffs aus dem Internet.
Schweregradbewertung:
| Windows NT Workstation 4.0 | Wichtig |
| Windows NT Server 4.0 | Wichtig |
| Windows NT Server 4.0, Terminal Server Edition | Wichtig |
| Windows 2000 | Wichtig |
| Windows XP Professional | Wichtig |
Die oben genannte Bewertung basiert auf den Typen von Systemen, die von der Sicherheitsanfälligkeit betroffen sind, ihren typischen Bereitstellungsmustern und der Auswirkung, dass sie die Sicherheitsanfälligkeit ausnutzen würden.
Sicherheitsrisikobezeichner:CAN-2003-0345
Getestete Versionen:
Microsoft hat Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Services Edition, Windows 2000, Windows XP und Windows Server 2003 getestet, um zu beurteilen, ob sie von dieser Sicherheitsanfälligkeit betroffen sind. Frühere Versionen werden nicht mehr unterstützt und können von diesen Sicherheitsrisiken betroffen sein.
Häufig gestellte Fragen
Warum hat Microsoft dieses Bulletin aktualisiert?
Im Anschluss an die ursprüngliche Version dieses Bulletins erweiterte Microsoft die Unterstützung von Windows NT Workstation 4.0 und Windows 2000 Service Pack 2. Das vorhandene Windows NT 4.0 Server-Sicherheitsupdate wird erfolgreich auf Windows NT 4.0 Workstation installiert und wird offiziell auf dieser Betriebssystemversion unterstützt. Ein Sicherheitsupdate steht jetzt von Microsoft Product Support Services für Kunden mit Windows 2000 Service Pack 2 zur Verfügung. Wenden Sie sich an den Microsoft-Produktsupport, um das Sicherheitsupdate von Windows 2000 Service Pack 2 zu erhalten.
Was ist der Umfang der Sicherheitsanfälligkeit?
Dies ist eine Pufferüberlauflücke , die zu Datenbeschädigung, Systemfehlern oder zum Ausführen des Codes ihrer Wahl führen kann.
Um diesen Fehler erfolgreich auszunutzen, müsste ein Angreifer zuerst vom Server authentifiziert werden. Standardmäßig ist es nicht möglich, diesen Fehler anonym auszunutzen.
Was verursacht die Sicherheitsanfälligkeit?
Die Sicherheitsrisikoergebnisse aufgrund einer unzureichenden Überprüfung durch das System der Puffergröße für bestimmte eingehende SMB-Pakete. SMB ist ein Client-zu-Server-basiertes Protokoll und wenn das Clientsystem einen SMB-Befehl an den Server sendet, sollte er die im Paket festgelegten Parameter überprüfen und entsprechend reagieren.
Im Falle dieses Fehlers überprüft das Empfängersystem nicht die erforderliche Puffergröße, bevor sie reagiert. Dies kann zu einem Pufferüberlauf führen, der zu Datenbeschädigung, Systemfehlern oder dazu führen kann, dass ein Angreifer den Code seiner Wahl ausführt.
Was ist SMB?
SMB (Server Message Block) ist das Internetstandardprotokoll, das Windows zum Freigeben von Dateien, Druckern, seriellen Ports und auch zur Kommunikation zwischen Computern mit benannten Rohren und E-Mail-Steckplätzen verwendet. In einer vernetzten Umgebung stellen Server Dateisysteme und Ressourcen für Clients zur Verfügung. Clients stellen SMB-Anforderungen für Ressourcen und Server vor, die SMB-Antworten in dem, was als Clientserver, Anforderungsantwortprotokoll beschrieben wird.
Wirkt sich diese Sicherheitsanfälligkeit auch auf CIFS aus?
Common Internet File System (CIFS) ist ein Internetstandardprotokoll. Die hier beschriebene Sicherheitsanfälligkeit befindet sich speziell in der Implementierung des Protokolls von Microsoft und nicht im Protokoll selbst.
Was ist mit der Implementierung des Protokolls von Microsoft falsch?
Es gibt einen Fehler in der Weise, wie der Server die Parameter eines SMB-Pakets überprüft. Wenn ein Clientsystem ein SMB-Paket an das Serversystem sendet, enthält es bestimmte Parameter, die dem Server eine Reihe von "Anweisungen" bereitstellen. In diesem Fall überprüft der Server nicht ordnungsgemäß die vom Paket festgelegte Pufferlänge. Wenn der Client eine Pufferlänge angibt, die kleiner als erforderlich ist, kann dies dazu führen, dass der Puffer überlaufen wird. Dies kann dazu führen, dass zufällige Daten in den Arbeitsspeicher geschrieben werden, was zu Datenbeschädigungen oder Systemfehlern führen kann, oder ein Angreifer kann auch den Code ihrer Wahl ausführen.
Was könnte diese Sicherheitsanfälligkeit einem Angreifer ermöglichen?
Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzen konnte, könnten sie zufällige Speicherbereiche überschrieben werden. Die daraus resultierende Wirkung könnte Datenbeschädigung, Systemfehler oder zulassen, dass ein Angreifer den Code seiner Wahl ausführen kann.
Welche Art von Daten wäre beschädigt?
Im Wesentlichen könnten alle Daten im Arbeitsspeicher zufällig überschrieben werden. Im schlimmsten Fall könnte der Systemspeicher überschrieben werden, sodass der Server fehlschlägt.
Wie kann ein Angreifer diese Sicherheitsanfälligkeit ausnutzen?
Ein Angreifer könnte versuchen, diese Sicherheitsanfälligkeit auszunutzen, indem ein speziell falsch formatiertes SMB-Paket erstellt und an den Server gesendet wird. Der Angreifer benötigt zunächst einen gültigen Benutzernamen und ein gültiges Kennwort, um vom Server authentifiziert zu werden. Standardmäßig gibt es keine Möglichkeit, diese Sicherheitsanfälligkeit anonym auszunutzen.
Was macht der Patch?
Der Patch beseitigt die Sicherheitsanfälligkeit, indem eine ordnungsgemäße Überprüfung der für SMB-Pakete festgelegten Parameter implementiert wird.
Patch-Verfügbarkeit
Downloadspeicherorte für diesen Patch
- Windows NT Workstation 4.0
- Windows NT Server 4.0
- Windows NT Server 4.0, Terminal Server Edition
- Windows 2000
- Windows XP 32-Bit-Edition
- Windows XP 64-Bit-Edition
Hinweis: Kunden, die Windows 2000 Service Pack 2 ausführen, sollten sich an den Microsoft-Produktsupport wenden, um dieses zusätzliche Sicherheitsupdate zu erhalten.
Weitere Informationen zu diesem Patch
Installationsplattformen:
Dieser Patch kann auf Systemen installiert werden, auf denen Folgendes ausgeführt wird:
Windows NT 4.0:
Der Windows NT 4.0-Patch kann auf Systemen mit Windows NT 4.0 Workstation Service Pack 6a oder Windows NT Server 4.0 Service Pack 6a installiert werden.
Windows NT Server 4.0, Terminal Server Edition:
Der Windows NT Server 4.0- Terminal Server Edition-Patch kann auf Systemen mit Windows NT Server 4.0, Terminal Server Edition Service Pack 6 installiert werden.
Windows 2000:
Der Windows 2000-Patch kann auf Systemen mit Windows 2000 Service Pack 3 installiert werden.
Für Windows XP:
Der Patch für Windows XP kann auf Systemen mit Windows XP Gold oder Windows XP Service Pack 1 installiert werden.
Hinweis: Kunden, die Windows 2000 Service Pack 2 ausführen, sollten sich an den Microsoft-Produktsupport wenden, um dieses zusätzliche Sicherheitsupdate zu erhalten.
Aufnahme in zukünftige Service Packs:
- Der Fix für dieses Problem ist in Windows 2000 Service Pack 4 enthalten.
- Die Lösung für dieses Problem ist in Windows XP Service Pack 2 enthalten.
Neustart erforderlich: Ja
Patch kann deinstalliert werden: Ja
Abgelöste Patches: Keine.
Überprüfen der Patchinstallation:
Windows NT Workstation 4.0 oder Windows NT Server 4.0: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, vergewissern Sie sich, dass alle dateien, die im Dateimanifest im Knowledge Base-Artikel 817606 auf dem System vorhanden sind.
Windows NT Server 4.0, Terminal Server Edition: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, vergewissern Sie sich, dass alle Dateien, die im Dateimanifest im Knowledge Base-Artikel aufgeführt sind, 817606 auf dem System vorhanden sind.
Windows 2000: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, vergewissern Sie sich, dass der folgende Registrierungsschlüssel auf dem Computer erstellt wurde: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q817606.
Um die einzelnen Dateien zu überprüfen, verwenden Sie die im folgenden Registrierungsschlüssel angegebenen Datums- und Versionsinformationen: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q817606\Filelist.
Für Windows XP:
Wenn unter Windows XP Gold installiert:
Um zu überprüfen, ob der Patch installiert wurde, vergewissern Sie sich, dass der folgende Registrierungsschlüssel auf dem Computer erstellt wurde: HKLM\Software\Microsoft\Updates\Windows XP\SP1\Q817606.
Um die einzelnen Dateien zu überprüfen, verwenden Sie die im folgenden Registrierungsschlüssel angegebenen Datums- und Versionsinformationen: HKLM\Software\Microsoft\Updates\Windows XP\SP1\Q817606\Filelist.
Wenn unter Windows XP Service Pack 1 installiert:
Um zu überprüfen, ob der Patch installiert wurde, vergewissern Sie sich, dass der folgende Registrierungsschlüssel auf dem Computer erstellt wurde: HKLM\Software\Microsoft\Updates\Windows XP\SP2\Q817606.
Um die einzelnen Dateien zu überprüfen, verwenden Sie die im folgenden Registrierungsschlüssel angegebenen Datums- und Versionsinformationen: HKLM\Software\Microsoft\Updates\Windows XP\SP2\Q817606\Filelist.
Einschränkungen:
Keine
Lokalisierung:
Lokalisierte Versionen dieses Patches sind an den Speicherorten verfügbar, die unter "Patchverfügbarkeit" erläutert werden.
Abrufen anderer Sicherheitspatches:
Patches für andere Sicherheitsprobleme stehen an den folgenden Speicherorten zur Verfügung:
- Sicherheitspatches sind im Microsoft Download Center verfügbar und können am einfachsten gefunden werden, indem sie eine Schlüsselwort (keyword) Suche nach "security_patch" durchführen.
- Patches für Consumerplattformen sind auf der WindowsUpdate-Website verfügbar.
Weitere Informationen:
Bestätigungen
Microsoft dankt Jeremy Allison und Andrew Tridgell, Samba Team für die Meldung dieses Problems an uns und arbeitet mit uns zusammen, um Kunden zu schützen.
Unterstützungswert:
- Microsoft Knowledge Base-Artikel 817606 behandelt dieses Problem und wird ungefähr 24 Stunden nach der Veröffentlichung dieses Bulletins verfügbar sein. Knowledge Base-Artikel finden Sie auf der Microsoft Online Support-Website .
- Technischer Support steht von Microsoft-Produktsupportdiensten zur Verfügung. Es fallen keine Gebühren für Supportanrufe an, die Sicherheitspatches zugeordnet sind.
Sicherheitsressourcen: Die Microsoft TechNet Security-Website enthält zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss:
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen:
- V1.0 Juli 09, 2003: Bulletin Created.
- V1.1. Juli 10, 2003: Korrigierte Registrierungsschlüssel für die Patchüberprüfung. Geänderter Patcheintrag für Windows 2000.
- V1.2. September 18, 2003: "Windows 2000" vor Service Pack 4 in Abschnitt "Inklusion in zukünftige Service Packs" hinzugefügt
- V1.3. April 13, 2004: Es wurden häufig gestellte Fragen hinzugefügt, um Kunden über die Verfügbarkeit eines Sicherheitsupdates für Windows NT Workstation 4.0 Service Pack 6a und Windows 2000 Service Pack 2 zu informieren.
- V1.4 (19. Mai 2004): Erläutert das Bulletin, um zu erläutern, dass das vorhandene Windows NT Server 4.0-Sicherheitsupdate auf Windows NT 4.0 Workstation-Systemen unterstützt wird.
Gebaut am 2014-04-18T13:49:36Z-07:00