BlackBoard (http://www.black-board.net/index.php)
- Computerecke (http://www.black-board.net/board.php?boardid=30)
-- Netzwerke/Telekommunikation (http://www.black-board.net/board.php?boardid=2)
--- Schwachstellen in der Microsoft Virtual Machine (http://www.black-board.net/thread.php?threadid=7475)

Geschrieben von fmann am 23.09.2002 um 09:44:

  Schwachstellen in der Microsoft Virtual Machine

[MS/Virtual Machine] Schwachstellen in der Microsoft Virtual Machine
(VM)
(2002-09-20 16:54:18.904478+02)
Quelle: http://cert.uni-stuttgart.de/archive/ms/2002/09/msg00005.html

Die Microsoft Virtual Machine (VM) weist mehrere Schwachstellen auf, wodurch beim Betrachten von arglistigen Webseiten, HTML-E-Mails bzw. Newsgruppenartikel beliebiger Programmcode ausgeführt werden kann.

Betroffene Systeme
* Microsoft Windows 95
* Microsoft Windows 98 und 98SE
* Microsoft Windows Millennium
* Microsoft Windows NT 4.0 (ab Service Pack 1)
* Microsoft Windows 2000
* Microsoft Windows XP (ab Service Pack 1)

Die Microsoft Virtual Machine ist auch Bestandteil einiger anderer Produkte (z.B. einiger Versionen des Internet Explorers)

Einfallstor
1. Arglistige Webseite, HTML-E-Mails bzw. Newsgruppenartikel
2. Arglistige Webseite, HTML-E-Mails bzw. Newsgruppenartikel

Auswirkung
1. Ausführung belieibgen Programmcodes mit den Privilegien des Benutzers. (remote user compromise)
2. Ausführung belieibgen Programmcodes mit den Privilegien des Benutzers. (remote user compromise)

Typ der Verwundbarkeit
Bislang liegen dem RUS-CERT für eine Beurteilung keine ausreichenden Informationen zur Verfügung.

Gefahrenpotential
1. hoch
2. hoch

(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Kontext
Die [2]Microsoft virtual machine implementiert die Programmiersprache Java auf Microsoft Windows Plattformen.

Beschreibung
1. Die Java Datenbank Verbindungsklassen (JDBC), die Java Applikationen einen Zugriff auf verschiedene Datenbankquellen bereitstellen, weisen Schwachstellen auf, wodurch beim Betrachten von arglistigen Webseiten, HTML-E-Mails bzw. Newsgruppenartikel beliebige DLL-Dateien ausgeführt werden können bzw. beliebiger Programmcode ausgeführt werden kann.

2. Die Java-Klasse, die die Unterstützung für die Verwendung von XML in Java Applikationen bereitstellt, weist eine Schwachstelle auf, wodurch beim Betrachten von arglistigen Webseiten, HTML-E-Mails bzw. Newsgruppenartikel beliebiger Programmcode mit den Privilegien des Benutzers ausgeführt werden kann.

Feststellen der Verwundbarkeit
Starten Sie die MS-DOS-Eingabeaufforderung (unter Microsoft 95/98/Me über START|Ausführen|Command bzw. unter Microsoft Windows NT/2000/XP über START|Ausführen|cmd) und geben den Befehl "jview" ein. Es wird beispielsweise "Java Version 5.00.3802" ausgeben, wobei 3802 der interessanten Versionsnummer entspricht. Verwundbar sind Systeme die die Versionsnummer 3805 (oder kleiner) aufweisen.

Workaround
Da die Virtual Machine offenbar weitere Schwachstellen aufweist, die durch den zur Verfügung stehenden Patch nicht beseitigt werden, sollte Java in den Einstellungen des Internet Explorers deaktiviert werden.
* Wählen Sie unter Tools|Internet Options ...|Security|Custom Level ...|Microsoft VM "Disable Java" aus.

Gegenmaßnahmen
Microsoft stellt Patches derzeit nur über die Microsoft-Update-Funktion zur Verfügung:
* [3]http://windowsupdate.microsoft.com/

Vulnerability ID
* [4]CAN-2002-0866 DLL execution via JDBC classes
* [5]CAN-2002-0867 Handle validation flaw
* [6]CAN-2002-0865 Inappropriate methods exposed in XML support classes

Weitere Information zu diesem Thema
* [7]Microsoft Security Bulletin MS02-052 Flaw in Microsoft VM JDBC Classes Could Allow Code Execution (Q329077)

Revisionen dieser Meldung
* V.1.0 (2002-09-20)
* V.1.1 (2002-09-20) Nach [8]Angaben von Online-Solutions beseitigt
das zur Verfügung stehende Update nicht alle bekannten Schwachstellen der VM.
* V.1.2 (2002-09-20) Workaround hinzugefügt

Aktuelle Version dieses Artikels
[9]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=968

Copyright © 2002 RUS-CERT, Universität Stuttgart,
[10]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://www.microsoft.com/java
3. http://windowsupdate.microsoft.com/
4. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0866
5. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0867
6. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0865
7. http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-052.asp
8. http://www.solutions.fi/index.cgi/news_2002_09_19?lang=eng
9. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=968
10. http://CERT.Uni-Stuttgart.DE

----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH