image

Microsoft patches voor ernstige lekken in Windows, Frontpage

dinsdag 11 april 2006, 21:20 door Redactie, 6 reacties

Zoals beloofd heeft Microsoft vijf updates voor haar software uitgebracht. Het gaat om het ernstige lek in Internet Explorer, wat al zo'n drie weken door spyware en andere malware misbruikt wordt, en twee kritieke kwetsbaarheden in het Microsoft Data Access Components en Windows Verkenner. In al deze gevallen kan een aanvaller een kwetsbaar Windows systeem overnemen.

Naast de drie kritieke lekken is er ook een "Important" lek in Outlook Express ontdekt als de gebruiker een kwaadaardige Windows Address Book (.wab) bestand opent. Ook in dit geval kan het systeem worden overgenomen.

Het zeventiende security bulletin van dit jaar waarschuwt voor een cross-site scripting lek in de FrontPage Server Extensies, waardoor een aanvaller scriptcode in de context van de ingelogde gebruiker kan uitvoeren. Is de ingelogde gebruiker een administrator, dan kan de aanvaller in het ergste geval een Front Page Server Extensions 2002 server overnemen.

Met dank aan Peter V. voor het melden van dit nieuws

Reacties (6)
11-04-2006, 22:25 door G-Force
Inzake de programmeerfout in IE (script action handlers) kan het volgende
worden meegedeeld: De kwetsbaarheid (die ik bij Microsoft gemeld had)
werd veroorzaakt door een progammeerfout in Internet Explorer. Door het
specificeren van duizenden "script action handlers", (zoals onLoad,
onMouseMove, etc) voor elke HTML tag, kon een aanvaller Internet
Explorer laten crashen. De betreffende pagina met exploit-code op de
pagina van security.nl wordt door Norton AntiVirus echter als een
computervirus gezien ([url=http://securityresponse.symantec.com/avcenter/venc/data/bloodhound.exploit.60.html]Bloodhoud.Exploit.60[/url]).
Na de patch van 11 april 2006 heb ik vastgesteld dat de crash van Internet
Explorer wordt voorkomen. Het testen van dit lek is daarom voor eigen
risico. Het artikel over deze exploit staat op de volgende pagina.

http://www.security.nl/article/13164
12-04-2006, 09:46 door SirDice
Inzake de programmeerfout in IE (script action
handlers) kan het volgende worden meegedeeld: De
kwetsbaarheid (die ik bij Microsoft gemeld had)
Heet jij Michael Zalewski?
http://seclists.org/lists/vulnwatch/2006/Jan-Mar/0082.html
Ook zie ik je naam
[url=http://www.microsoft.com/technet/security/bulletin/ms06-apr.mspx]hier[/url]
niet staan:
Microsoft thanks the following for working with us to
help protect customers:
• Andreas Sandblad of Secunia for reporting an issue
described in MS06-013.
• Jeffrey van der Stad for reporting an issue described in
MS06-013.
• Jan P. Monsch of Compass Security Network Computing AG for
reporting an issue described in MS06-013.
• Richard M. Smith of Boston Software Forensics for
reporting an issue described in MS06-013.
• Thomas Waldegger for reporting an issue described in MS06-013.
• Sowhat of Nevis Labs for reporting an issue described in
MS06-013.
• Heiko Schultze of SAP for reporting an issue described in
MS06-013.
• Will Dormann of CERT/CC for reporting an issue described
in MS06-013.

Je bent toch niet aan het pronken met andermans veren?
12-04-2006, 13:25 door G-Force
Eerlijk gezegd had ik dergelijke reacties wel verwacht.

Nee, hoor. Ik heb het wel degelijk gemeld bij Microsoft. Dat is gewoon de
waarheid. Als je iets te melden hebt kun je een speciaal formulier op hun website gebruiken. Op het moment dat de exploit bekend gemaakt werd heb ik zowel Microsoft Nederland als Microsoft VS benaderd en het probleem aanhangig gemaakt. Kort daarop kreeg ik een e-mail van ze terug dat ze de claim zouden onderzoeken.

Ik pronk zeker niet met andersmans veren.

Het ingevulde formulier staat hieronder (plus de reactie van Microsoft)
=======================================================
Hi Peter,

Thank you for your note. We are current investigating this issue.

Kind regards,
Brian

-----Original Message-----
Sent: Saturday, March 18, 2006 11:28 AM
To: Microsoft Security Response Center
Subject: Security Vulnerability Report

CONTACT INFORMATION
May we contact you about this report?
Yes
Name: Peter V
Email: [removed]xs4all.nl
Phone:
COMPUTER INFORMATION
Manufacturer and model of your computer:
[removed]HP

Have you installed any additional hardware on the system?
No

Have you installed any operating system security patches?
Yes
all patches for Windows SP1

AFFECTED PRODUCT

What product are you reporting a security vulnerability in?
Product Name:
Internet Explorer 6
Product Version:
6.0.2800.1106.xpsp2.050301-1526

Have you installed any service packs for the product?:
Yes
SP1

Have you installed any security patches for the product?:
Yes
all security patches for IE

VULNERABLITY INFORMATION

Please describe the flaw in the product:
This might not come as a surprise, but there appears to be a *very*
interesting and apparently very much exploitable overflow in Microsoft
Internet Explorer (mshtml.dll).

This vulnerability can be triggered by specifying more than a couple
thousand script action handlers (such as onLoad, onMouseMove, etc) for
any single HTML tag. Due to a programming error, MSIE will then attempt
to write memory array out of bounds, at an offset corresponding to the
ID of the script action handler multiplied by 4 (due to 32-bit address
clipping, the result is a small positive integer).

The list of IDs can be found on the Web, and is as follows (values in
parentheses = resulting offsets):

onhelp = 0x8001177d (+0x45df4)
onclick = 0x80011778 (+0x45de0)
ondblclick = 0x80011779 (+0x45de4)
onkeyup = 0x80011776 (+0x45dd8)
onkeydown = 0x80011775 (+0x45dd4)
onkeypress = 0x80011777 (+0x45ddc)
onmouseup = 0x80011773 (+0x45dcc)
onmousedown = 0x80011772 (+0x45dc8)
onmousemove = 0x80011774 (+0x45dd0)
onmouseout = 0x80011771 (+0x45dc4)
onmouseover = 0x80011770 (+0x45dc0)
onreadystatechange = 0x80011789 (+0x45e24) onafterupdate = 0x80011786
(+0x45e18) onrowexit = 0x80011782 (+0x45e08) onrowenter = 0x80011783
(+0x45e0c) ondragstart = 0x80011793 (+0x45e4c) onselectstart =
0x80011795 (+0x45e54)

What happens next depends on the structure of the page in which the
malicious tag is embedded, as well as previously visited page and
previously initialized extensions (all these factors can be controlled
by the attacker).

When the offending page contains no additional elements, and the user is
not redirected from elsewhere, the browser will typically crash
immediately, because there is no allocated memory at the resulting
offset.
In all other cases, crashes will typically occur later, due to attempted
use of unrelated but corrupted in-memory buffers -for example, when the
user attempts to leave or reload the page. Another good example is
coming from a page that contains Macromedia Flash - this usually causes
the Flash plugin itself to choke on corrupted memory on cleanup.

For non-believers, there's a short but fiery demonstration page
available at http://[removed].html (yes, it will
probably crash your browser).

Tested on MSIE 6.0.2900.2180.xpsp2.040806-1825 on Windows XP SP2. As far
as I can tell, other browser makes (Firefox, Opera) are not susceptible
to this attack.

I eagerly await due reprimend from Microsoft for not disclosing this
vulnerability in a manner that benefits them most, not passing start,
not collecting $200 (from iDefense?).

http://www.securityfocus.com/archive/1/427904/30/0/threaded


Is the flaw present in the product in the default configuration?
Don't Know

Please tell us how to duplicate the problem in our laboratory:
You have to go to the next website:

http://[removed].html

Internet Explorer may be crashing.

Please describe how someone might mount an attack via the flaw:

DDoS attack and arbitrairy code is possible.

Please describe what the result of a successful attack would be:

Result: taking over controle of someone's computer.

Please provide any additional information that might be helpful in
investigating this issue:

Please see the website Securityfocus.

http://www.securityfocus.com/archive/1/427904/30/0/threaded

Have allready warned Microsoft in The Netherlands. PoC (Proof of Concept) is allready in the wild.
12-04-2006, 14:29 door Anoniem
@Peter V.
Je krijgt zulke reacties alleen maar omdat het voor niemand te verifieren is.
Dat is alleen maar logisch. Je had de zinsnede "(die ik bij Microsoft
gemeld had)" er ook gewoon uit kunnen laten, en dan was er niks aan de
hand geweest. Het is jammer dat er geen credits vanuit Microsoft aan jou
worden gegeven, maar je had beter die ene zinsnede kunnen gebruiken
als je wel die credits had gekregen.
12-04-2006, 15:38 door SirDice
Er worden geen credits gegeven omdat Peter niet de vinder
van de bug is.. Bovendien durf ik m'n hand in het vuur te
steken door te zeggen dat MS al op de hoogte was omdat zij
zelf ook die mailinglist volgen...
12-04-2006, 17:17 door G-Force
Hmm. Klopt wel. Ik zit overigens niet op menselijke eer te wachten. Aardig
was het van Microsoft wel geweest, maar mijn intentie was om het lek zo
snel mogelijk te melden. Ik zie niet graag mensen in de problemen komen
omdat Redmond zijn werk niet goed gedaan heeft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.