RUS CERT IT Sicherheit

Deutschsprachige IT Sicherheitsmeldungen des RUS CERT (Computer Emergency Response Team des Rechenzentrums der Universität Stuttgart).

Security News Artikel #1593

Zurück zur Übersicht

Meldung Nr: RUS-CERT-1593

[MS/IE] Schwachstelle im Internet Explorer und in Visual Studio
(2009-07-29 08:05:38.022512+00)

Quelle: http://www.microsoft.com/technet/security/advisory/973882.mspx

Im Rahmen des Microsoft Security Advisory (973882), das außerhalb des üblichen Zyklus veröffentlicht wird, stellt Microsoft Patches für den Internet Explorer und Visual Studio bereit. Die Schwachstellen betreffen die Microsoft Active Template Library (ATL), die im Lieferumfang von Visual Studio enthalten sind und zur Erstellung und Nutzung von COM-Komponenten einschließlich ActiveX-Steuerelementen dienen. Die Patches sind zur Behebung der Schwachstellen an der Wurzel (ATL bz. Visual Studio) als auch beim Hauptnutzer (IE) vorgesehen.

Inhalt

Zusammenfassung

  • CVE-2009-1917:
    Betroffen: Internet Explorer (IE) 5.01 bis einschließlich 8
    Plattform: Microsoft Windows 2000 bis einschließlich Server 2008
    Nicht betroffen: IE 8 unter Windows 7
    Einfallstor: ActiveX-Control über eine Webseite
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: ja
    Gegenmaßnahmen: Update
    Vulnerability ID: CVE-2009-1917
  • CVE-2009-1918:
    Betroffen: Internet Explorer (IE) 5.01 bis einschließlich 8
    Plattform: Microsoft Windows 2000 bis einschließlich Server 2008
    Nicht betroffen: IE 8 unter Windows 7
    Einfallstor: HTML-Code
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: ja
    Gegenmaßnahmen: Update
    Vulnerability ID: CVE-2009-1918
  • CVE-2009-1919:
    Betroffen: Internet Explorer (IE) 5.01 bis einschließlich 8
    Plattform: Microsoft Windows 2000 bis einschließlich Server 2008
    Nicht betroffen: IE 8 unter Windows 7
    Einfallstor: ActiveX-Control über eine Webseite
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: ja
    Gegenmaßnahmen: Update
    Vulnerability ID: CVE-2009-1919
  • CVE-2009-0901:
    Betroffen: Microsoft Visual Studio
    Plattform: Microsoft Windows
    Einfallstor: ActiveX-Control über eine Webseite
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: ja
    Gegenmaßnahmen: Update
    Vulnerability ID: CVE-2009-0901
  • CVE-2009-2493:
    Betroffen: Microsoft Visual Studio
    Plattform: Microsoft Windows
    Einfallstor: ActiveX-Control über eine Webseite
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: ja
    Gegenmaßnahmen: Update
    Vulnerability ID: CVE-2009-2493
  • CVE-2009-2495:
    Betroffen: Microsoft Visual Studio
    Plattform: Microsoft Windows
    Einfallstor: ActiveX-Control über eine Webseite
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: information leak
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: ja
    Gegenmaßnahmen: Update
    Vulnerability ID: CVE-2009-2495
  • CVE-2008-0015:
    Referenz: Schwachstelle wurde bereits in RUS-CERT-1586 beschrieben
    Vulnerability ID: CVE-2008-0015

Betroffene Systeme

  • CVE-2009-1917:
    • Internet Explorer 5.01
    • Internet Explorer 6
    • Internet Explorer 6 SP1
    • Internet Explorer 7
    • Internet Explorer 8
  • CVE-2009-1918:
    • Internet Explorer 5.01
    • Internet Explorer 6
    • Internet Explorer 6 SP1
    • Internet Explorer 7
    • Internet Explorer 8
  • CVE-2009-1919:
    • Internet Explorer 5.01
    • Internet Explorer 6
    • Internet Explorer 6 SP1
    • Internet Explorer 7
    • Internet Explorer 8
  • CVE-2009-0901:
    • Microsoft Visual Studio .NET 2003 SP1
    • Microsoft Visual Studio 2005 SP1
    • Microsoft Visual Studio 2005 SP1 64-bit Hosted Visual C++ Tools
    • Microsoft Visual Studio 2008
    • Microsoft Visual Studio 2008 SP1
    • Microsoft Visual C++ 2005 SP1 Redistributable Package
    • Microsoft Visual C++ 2008 Redistributable Package
    • Microsoft Visual C++ 2008 SP1 Redistributable Package
  • CVE-2009-2493:
    • Microsoft Visual Studio .NET 2003 SP1
    • Microsoft Visual Studio 2005 SP1
    • Microsoft Visual Studio 2005 SP1 64-bit Hosted Visual C++ Tools
    • Microsoft Visual Studio 2008
    • Microsoft Visual Studio 2008 SP1
    • Microsoft Visual C++ 2005 SP1 Redistributable Package
    • Microsoft Visual C++ 2008 Redistributable Package
    • Microsoft Visual C++ 2008 SP1 Redistributable Package
  • CVE-2009-2495:
    • Microsoft Visual Studio .NET 2003 SP1
    • Microsoft Visual Studio 2005 SP1
    • Microsoft Visual Studio 2005 SP1 64-bit Hosted Visual C++ Tools
    • Microsoft Visual Studio 2008
    • Microsoft Visual Studio 2008 SP1
    • Microsoft Visual C++ 2005 SP1 Redistributable Package
    • Microsoft Visual C++ 2008 Redistributable Package
    • Microsoft Visual C++ 2008 SP1 Redistributable Package

Nicht betroffene Systeme

  • CVE-2009-1917:
    • Internet Explorer 8 unter Windows 7 für 32-Bit-Systeme
    • Internet Explorer 8 unter Windows 7 für x64-basierte Systeme
    • Internet Explorer 8 unter Windows 7 für Itanium-basierte Systeme
  • CVE-2009-1918:
    • Internet Explorer 8 unter Windows 7 für 32-Bit-Systeme
    • Internet Explorer 8 unter Windows 7 für x64-basierte Systeme
    • Internet Explorer 8 unter Windows 7 für Itanium-basierte Systeme
  • CVE-2009-1919:
    • Internet Explorer 8 unter Windows 7 für 32-Bit-Systeme
    • Internet Explorer 8 unter Windows 7 für x64-basierte Systeme
    • Internet Explorer 8 unter Windows 7 für Itanium-basierte Systeme

Plattform

  • CVE-2009-1917:
    • Microsoft Windows 2000 SP4
    • Microsoft Windows XP Service SP2
    • Microsoft Windows XP Service SP3
    • Microsoft Windows XP Professional x64 Edition SP2
    • Microsoft Windows Server 2003 SP2
    • Microsoft Windows Server 2003 x64 Edition SP2
    • Microsoft Windows Server 2003 für Itanium-basierte Systeme SP2
    • Microsoft Windows Vista
    • Microsoft Windows Vista SP1
    • Microsoft Windows Vista SP2
    • Microsoft Windows Vista x64 Edition
    • Microsoft Windows Vista x64 Edition SP1
    • Microsoft Windows Vista x64 Edition SP2
    • Microsoft Windows Server 2008 für 32-bit Systeme
    • Microsoft Windows Server 2008 für 32-bit Systeme SP2
    • Microsoft Windows Server 2008 für x64-basierte Systeme
    • Microsoft Windows Server 2008 für x64-basierte Systeme SP2
    • Microsoft Windows Server 2008 für Itanium-basierte System
    • Microsoft Windows Server 2008 für Itanium-basierte System SP2
  • CVE-2009-1918:
    • Microsoft Windows 2000 SP4
    • Microsoft Windows XP Service SP2
    • Microsoft Windows XP Service SP3
    • Microsoft Windows XP Professional x64 Edition SP2
    • Microsoft Windows Server 2003 SP2
    • Microsoft Windows Server 2003 x64 Edition SP2
    • Microsoft Windows Server 2003 für Itanium-basierte Systeme SP2
    • Microsoft Windows Vista
    • Microsoft Windows Vista SP1
    • Microsoft Windows Vista SP2
    • Microsoft Windows Vista x64 Edition
    • Microsoft Windows Vista x64 Edition SP1
    • Microsoft Windows Vista x64 Edition SP2
    • Microsoft Windows Server 2008 für 32-bit Systeme
    • Microsoft Windows Server 2008 für 32-bit Systeme SP2
    • Microsoft Windows Server 2008 für x64-basierte Systeme
    • Microsoft Windows Server 2008 für x64-basierte Systeme SP2
    • Microsoft Windows Server 2008 für Itanium-basierte System
    • Microsoft Windows Server 2008 für Itanium-basierte System SP2
  • CVE-2009-1919:
    • Microsoft Windows 2000 SP4
    • Microsoft Windows XP Service SP2
    • Microsoft Windows XP Service SP3
    • Microsoft Windows XP Professional x64 Edition SP2
    • Microsoft Windows Server 2003 SP2
    • Microsoft Windows Server 2003 x64 Edition SP2
    • Microsoft Windows Server 2003 für Itanium-basierte Systeme SP2
    • Microsoft Windows Vista
    • Microsoft Windows Vista SP1
    • Microsoft Windows Vista SP2
    • Microsoft Windows Vista x64 Edition
    • Microsoft Windows Vista x64 Edition SP1
    • Microsoft Windows Vista x64 Edition SP2
    • Microsoft Windows Server 2008 für 32-bit Systeme
    • Microsoft Windows Server 2008 für 32-bit Systeme SP2
    • Microsoft Windows Server 2008 für x64-basierte Systeme
    • Microsoft Windows Server 2008 für x64-basierte Systeme SP2
    • Microsoft Windows Server 2008 für Itanium-basierte System
    • Microsoft Windows Server 2008 für Itanium-basierte System SP2
  • CVE-2009-0901:
    • Microsoft Windows XP Service SP2
    • Microsoft Windows XP Service SP3
    • Microsoft Windows XP Professional x64 Edition SP2
    • Microsoft Windows Server 2003 SP2
    • Microsoft Windows Server 2003 x64 Edition SP2
    • Microsoft Windows Server 2003 für Itanium-basierte Systeme SP2
    • Microsoft Windows Vista
    • Microsoft Windows Vista SP1
    • Microsoft Windows Vista SP2
    • Microsoft Windows Vista x64 Edition
    • Microsoft Windows Vista x64 Edition SP1
    • Microsoft Windows Vista x64 Edition SP2
    • Microsoft Windows Server 2008 für 32-bit Systeme
    • Microsoft Windows Server 2008 für 32-bit Systeme SP2
    • Microsoft Windows Server 2008 für x64-basierte Systeme
    • Microsoft Windows Server 2008 für x64-basierte Systeme SP2
    • Microsoft Windows Server 2008 für Itanium-basierte System
    • Microsoft Windows Server 2008 für Itanium-basierte System SP2
  • CVE-2009-2493:
    • Microsoft Windows XP Service SP2
    • Microsoft Windows XP Service SP3
    • Microsoft Windows XP Professional x64 Edition SP2
    • Microsoft Windows Server 2003 SP2
    • Microsoft Windows Server 2003 x64 Edition SP2
    • Microsoft Windows Server 2003 für Itanium-basierte Systeme SP2
    • Microsoft Windows Vista
    • Microsoft Windows Vista SP1
    • Microsoft Windows Vista SP2
    • Microsoft Windows Vista x64 Edition
    • Microsoft Windows Vista x64 Edition SP1
    • Microsoft Windows Vista x64 Edition SP2
    • Microsoft Windows Server 2008 für 32-bit Systeme
    • Microsoft Windows Server 2008 für 32-bit Systeme SP2
    • Microsoft Windows Server 2008 für x64-basierte Systeme
    • Microsoft Windows Server 2008 für x64-basierte Systeme SP2
    • Microsoft Windows Server 2008 für Itanium-basierte System
    • Microsoft Windows Server 2008 für Itanium-basierte System SP2
  • CVE-2009-2495:
    • Microsoft Windows XP Service SP2
    • Microsoft Windows XP Service SP3
    • Microsoft Windows XP Professional x64 Edition SP2
    • Microsoft Windows Server 2003 SP2
    • Microsoft Windows Server 2003 x64 Edition SP2
    • Microsoft Windows Server 2003 für Itanium-basierte Systeme SP2
    • Microsoft Windows Vista
    • Microsoft Windows Vista SP1
    • Microsoft Windows Vista SP2
    • Microsoft Windows Vista x64 Edition
    • Microsoft Windows Vista x64 Edition SP1
    • Microsoft Windows Vista x64 Edition SP2
    • Microsoft Windows Server 2008 für 32-bit Systeme
    • Microsoft Windows Server 2008 für 32-bit Systeme SP2
    • Microsoft Windows Server 2008 für x64-basierte Systeme
    • Microsoft Windows Server 2008 für x64-basierte Systeme SP2
    • Microsoft Windows Server 2008 für Itanium-basierte System
    • Microsoft Windows Server 2008 für Itanium-basierte System SP2

Kontext

Die im Rahmen des Microsoft Security Advisory (973882), das außerhalb des üblichen Zyklus veröffentlicht wird, bereitgestellten Updates beheben Schwachstellen in der Microsoft Active Template Library (ATL), die zur Erstellung und Nutzung von COM-Komponenten einschließlich ActiveX-Steuerelementen dienen. Die Bibliothek ist im Lieferumfang von Visual Studio C++ enthalten.

Die bereitgestellten Updates für Visual Studio C++ sollen die Schwachstellen für neu zu erstellende Software bereinigen, bzw. den Entwicklern die Möglichkeit geben, sie aus Ihren Produkten durch Neuübersetzung mittels der Bereinigten Entwicklungsumgebung zu tilgen.

Um gleichzeitig den wichtigsten "Nutzer" der COM-Architektur in webbasierten Anwendungen zu schützen, stellt Microsoft Updates für den Internet Explorer zur Verfügung.

Workaround

  • CVE-2009-1917:
    Anwendung der im Microsoft Security Bulletin MS09-034 in der Sektion Workarounds für die Schwachstelle CVE-2009-1917 empfohlenen Maßnahmen
  • CVE-2009-1918:
    Anwendung der im Microsoft Security Bulletin MS09-034 in der Sektion Workarounds für die Schwachstelle CVE-2009-1918 empfohlenen Maßnahmen
  • CVE-2009-1919:
    Anwendung der im Microsoft Security Bulletin MS09-034 in der Sektion Workarounds für die Schwachstelle CVE-2009-1919 empfohlenen Maßnahmen
  • CVE-2009-0901:
    Anwendung der im Microsoft Security Bulletin MS09-035 in der Sektion Workarounds für die Schwachstelle CVE-2009-0901 empfohlenen Maßnahmen
  • CVE-2009-2493:
    Anwendung der im Microsoft Security Bulletin MS09-035 in der Sektion Workarounds für die Schwachstelle CVE-2009-2493 empfohlenen Maßnahmen
  • CVE-2009-2495:
    Anwendung der im Microsoft Security Bulletin MS09-035 in der Sektion Workarounds für die Schwachstelle CVE-2009-2495 empfohlenen Maßnahmen

Gegenmaßnahmen

  • CVE-2009-1917:
    Installation der im Microsoft Security Bulletin MS09-034 in der Sektion "Security Update Deployment" bereitgestellten Patches bzw. Updates
  • CVE-2009-1918:
    Installation der im Microsoft Security Bulletin MS09-034 in der Sektion "Security Update Deployment" bereitgestellten Patches bzw. Updates
  • CVE-2009-1919:
    Installation der im Microsoft Security Bulletin MS09-034 in der Sektion "Security Update Deployment" bereitgestellten Patches bzw. Updates
  • CVE-2009-0901:
    Installation der im Microsoft Security Bulletin MS09-035 in der Sektion "Security Update Deployment" bereitgestellten Patches bzw. Updates
  • CVE-2009-2493:
    Installation der im Microsoft Security Bulletin MS09-035 in der Sektion "Security Update Deployment" bereitgestellten Patches bzw. Updates
  • CVE-2009-2495:
    Installation der im Microsoft Security Bulletin MS09-035 in der Sektion "Security Update Deployment" bereitgestellten Patches bzw. Updates

    Vulnerability ID

    (og)

    Weitere Artikel zu diesem Thema:

    • [MS/Windows] Microsoft stellt Patches für insgesamt 19 Schwachstellen bereit (2009-08-11)
      Im Rahmen seines Security Bulletin Summary for August 2009 stellt Microsoft Patches für insgesamt 19 Schwachstellen bereit. Die Schwachstellen betreffen Microsoft Windows, die Office Web Components, Routinen zur Verarbeitung von Mediendateien, Remote Desktop Connection, die Active Template Library, den Wirkstation Service, das Message Queuing, ASP.NET und die Telnet-Implementierung. Die Schwachstellen ermöglichen Angreifern zum großen Teil die Ausführung beliebigen Programmcodes auf dem beherbergenden System, weshalb die Installation der bereitgestellten Updates dringend empfohlen wird.

    Hinweis
    Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

    Copyright © 2017 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/


    http://cert.uni-stuttgart.de/ticker/article.php?mid=1593
     

    Scannen Sie den Barcode um die Webseite zu öffnen


    Quelle: http://www.trinler.net/de/news/it/cert/1593
    Gedruckt am: 24.05.2017 10:06 GMT+0200 (2017-05-24T10:06:46+02:00)