Artikel-ID: 321661 - Geändert am: Mittwoch, 30. Mai 2007 - Version: 7.3

MS02-022: Ungeprüfter Puffer in MSN Chat-Steuerelement kann Codeausführung ermöglichen

Retired KB ArticleDisclaimer zu nicht mehr gepflegten KB-Inhalten
Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D321661
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
321661  (http://support.microsoft.com/kb/321661/EN-US/ ) MS02-022: An Unchecked Buffer in the MSN Chat Control Can Permit Code to Be Run
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Problembeschreibung

Im MSN Chat-Steuerelement besteht eine Sicherheitsanfälligkeit durch Pufferüberlauf. Wenn ein Angreifer diese Sicherheitsanfälligkeit ausnutzt, kann er beliebigen Code auf dem Computer ausführen. Die Codeausführung erfolgt wie durch den lokalen Benutzer. Deshalb kann der Code alle Aktionen auf dem Computer durchführen, die auch dem lokalen Benutzer möglich sind. Beispielsweise können beliebige Daten oder Konfigurationsinformationen hinzugefügt, geändert oder gelöscht werden. So könnte der Code die Sicherheitseinstellungen im Browser herabsetzen oder eine Datei auf die Festplatte schreiben.

Da der Code als lokaler Benutzer und nicht als Betriebssystem ausgeführt wird, gelten Sicherheitseinschränkungen für das Benutzerkonto auch für Code, der durch Ausnutzung dieser Sicherheitsanfälligkeit ausgeführt wird. In Umgebungen, in denen Einschränkungen für Benutzerkonten gelten, beispielsweise in Unternehmen, werden die Vorgänge, die der Code des Angreifers durchführen kann, durch diese Einschränkungen begrenzt.

Schadensbegrenzende Faktoren:
  • Für einen erfolgreichen Angriff muss der lokale Benutzer das MSN Chat-Steuerelement, MSN Messenger oder Microsoft Exchange Instant Messenger installiert haben. Keine Version von Microsoft Windows ist von sich aus für derartige Angriffe anfällig.
  • In Windows Messenger ist das MSN Chat-Steuerelement nicht enthalten. Benutzer von Microsoft Windows XP sind nur dann gefährdet, wenn sie das MSN Chat-Steuerelement von MSN-Websites installieren.
  • Microsoft Outlook 2000 mit installiertem Outlook E-Mail-Sicherheitsupdate, Microsoft Outlook 2002 und Microsoft Outlook Express öffnen HTML-E-Mail-Nachrichten standardmäßig in der Zone "Eingeschränkte Sites". Benutzer, die diese Programme mit den Standardeinstellungen benutzen, sind somit vor Angriffen aus E-Mail-Nachrichten geschützt.
Zum Anfang

Ursache

Diese Sicherheitsanfälligkeit wird dadurch verursacht, dass ein Puffer im Code, der für die Eingabe eines Parameters im MSN Chat-Steuerelement zuständig ist, nicht geprüft wird. Ein Angreifer kann durch einen bestimmten Aufruf dieses Parameters einen Pufferüberlauf verursachen, wodurch die Codeausführung ermöglicht wird.
Zum Anfang

Lösung

Zur Vermeidung dieser Sicherheitsanfälligkeit ist ein Patch verfügbar, der die Registrierung des betroffenen MSN Chat-Steuerelements aufhebt. Dadurch wird das Steuerelement nutzlos. Mit dem Patch wird kein aktualisiertes MSN Chat-Steuerelement installiert. Nachdem der Patch angewendet wurde, wird dem Benutzer beim nächsten Besuch der MSN Chat-Website eine aktualisierte Version des MSN Chat-Steuerelements zum Download angeboten.

Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:

Bild minimierenBild vergrößern
Download
Paket "MSNChatSecFix.exe" jetzt herunterladen (http://www.microsoft.com/downloads/details.aspx?FamilyID=8f8505b5-81bc-438d-8c57-b0def3a0305b&displaylang=en)
Freigabedatum: 11.06.2002

Weitere Informationen zum Download von Microsoft Support-Dateien finden Sie im folgenden Artikel der Microsoft Knowledge Base:
119591  (http://support.microsoft.com/kb/119591/DE/ ) So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.
Die neueste Version von MSN Messenger, die das korrigierte Steuerelement bereits enthält, ist Version 4.6 (4.6.0079). Sie erhalten diese Version auf der folgenden Microsoft-Website:
http://messenger.msn.com (http://messenger.msn.com/)
Die neueste Version des Instant Messaging-Diensts von Microsoft Exchange 2000, die das korrigierte Steuerelement bereits enthält, ist Version 4.6 (4.6.0079). Sie erhalten diese Version auf der folgenden Microsoft-Website:
http://www.microsoft.com/technet/prodtechnol/exchange/downloads/2000/imclient.mspx (http://www.microsoft.com/technet/prodtechnol/exchange/downloads/2000/imclient.mspx)
Sie müssen Ihren Computer nicht neu starten, nachdem Sie diesen Patch angewendet oder Ihre Version von MSN Messenger aktualisiert haben.
Zum Anfang

Status

Microsoft hat bestätigt, dass dieses Problem in gewissem Umfang eine Sicherheitsanfälligkeit im MSN Chat-Steuerelement zur Folge haben kann.
Zum Anfang

Weitere Informationen

Das MSN Chat-Steuerelement steht als Webdownload auf verschiedenen MSN Chat (http://chat.msn.com/) -Websites zur Verfügung und ist in MSN Messenger 4.5 oder höher sowie im Instant Messaging-Dienst von Exchange 2000 enthalten. Das MSN Chat-Steuerelement ist nicht in Windows Messenger unter Windows XP enthalten. Benutzer von Windows XP können das Steuerelement jedoch installieren, indem sie eine MSN Chat-Website besuchen und das Steuerelement herunterladen.

Weitere Informationen zu dieser Anfälligkeit finden Sie auf der folgenden Microsoft-Website:
http://www.microsoft.com/technet/security/bulletin/MS02-022.mspx (http://www.microsoft.com/technet/security/bulletin/MS02-022.mspx)
Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Chat 2.1a
  • Microsoft Chat 2.1
  • Microsoft Chat 2.0
  • Microsoft Chat 2.5
  • MSN Messenger 4.6
  • MSN Messenger 4.5
Zum Anfang
Keywords: 
kbbug kbfix kbsecurity KB321661
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Retired KB ArticleDisclaimer zu nicht mehr gepflegten KB-Inhalten
Dieser Artikel wurde für Produkte verfasst, für die Microsoft keinen Support mehr anbietet. Der Artikel wird deshalb in der vorliegenden Form bereitgestellt und nicht mehr weiter aktualisiert.
Zum Anfang
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

SPRACHE AUSWÄHLEN