VulDB: Microsoft Windows 98 bis XP Telephony Application Programming Interface Pufferüberlauf
Allgemein
scipID: 1687
Betroffen: Microsoft Windows 98 bis XP
Veröffentlicht: 09.08.2005 (Kostya Kortchinsky, CERT Renater)
Risiko: 
kritisch
Beschreibung
Microsoft Windows 98 ist die Weiterentwicklung von Microsoft Windows 95, ein kommerzielles Betriebssystem, das von der amerikanischen Firma Microsoft entwickelt und vertrieben wird. Microsoft Windows NT 4.0 ist das professionelle Pendant, das jedoch mitlerweile vielerorts durch den Nachfolger Microsoft Windows 2000 abgelöst wurde. Microsoft Windows XP wiederum stellt die Weiterentwicklung und eine indirekte Zusammenführung mit der 98er-Reihe dessen dar. Wie der Hersteller in seinem Microsoft Security Bulletin MS05-40 (KB893756) bekannt gibt, existiert eine Pufferüberlauf-Schwachstelle im Telephony Application Programming Interface (TAPI). Das Problem besteht in der Verarbeitung von Nachrichten und ihren Rechten. Um den Angriff umzusetzen ist in der Regel ein lokales Konto erforderlich. Lediglich unter Microsoft Windows 2000 und Server 2003 kann unter gewissen Umständen auch ohne lokalen Account ein solcher Angriff erfolgreich sein. Ein Exploit zur Schwachstelle ist bisher nicht bekannt. Microsoft hat Patches für die betroffenen Windows-Versionen herausgegeben.
Auch diese Schwachstelle ist relativ kritisch; in erster Linie, weil sämtliche Windows-Versionen betroffen sind. Hingegen erfordert der Angriff ein gewisses Mass an Interaktivität durch den Benutzer bzw. in erster Linie Attacken nur mit einem lokalen Benutzerkonto ausgeführt werden. Das Risiko gilt es jedoch nicht zu unterschätzen und deshalb sein System – vor allem in Multiuser-Umgebungen – auf den neuesten Stand zu bringen.
Exploiting
Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: 19403 (Name: MS05-040: Vulnerability in Telephony Service Could Allow Remote Code Execution (893756), Risk: High)
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: –
Massnahme: Den freigegebenen Patch einspielen.
Link: http://windowsupdate.microsoft.com
Snort: 9914 (NETBIOS DCERPC NCACN-IP-TCP tapisrv ClientRequest LSetAppPriority overflow attempt)
Pattern: E|00 00 00|
Quellen
Advisory: http://www.microsoft.com/technet/security/Bulletin/MS05-040.mspx
CVE: CVE-2005-0058
OSVDB: –
Securityfocus: 14518
Secunia: 16354
X-Force: –
Securitytracker: 1014639
VUPEN: –
Securiteam: –
Tecchannel: –
Heise: 62641
smSS: –
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
