VulDB: Microsoft Windows Mail Handler STAT Pufferüberlauf
Allgemein
scipID: 4126
Betroffen: Microsoft Windows
Veröffentlicht: 11.05.2010 (Francis Provencher)
Risiko: 
problematisch
Eintrag: 95.6% komplett
Erstellt: 19.05.2010
Aktualisiert: 03.09.2012
Beschreibung
Microsoft Windows ist ein Markenname für Betriebssysteme des Unternehmens Microsoft. Ursprünglich war Microsoft Windows eine grafische Erweiterung des Betriebssystems MS-DOS (wie beispielsweise auch GEM oder PC/GEOS). Inzwischen wurde dieser Entwicklungszweig zugunsten der Windows-NT-Produktlinie aufgegeben und Windows bezeichnet das Betriebssystem als Ganzes. Der Name Windows (engl.: Fenster) rührt daher, dass aktive Anwendungen als rechteckige Fenster auf dem Bildschirm dargestellt werden. Der Researcher Francis Provencher der Firma Protek Research Labs beschreibt in einem Advisory eine Schwachstelle (Pufferüberlauf) in aktuellen Versionen der Applikation. Durch die Ausnutzung der vorliegenden Schwachstelle kann unter Umständen beliebiger Code zur Ausführung gebracht werden, was zur Kompromittierung des Systems führen kann. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (64530), Secunia (SA39766) und SecurityFocus (BID 40052) dokumentiert.
Für den Vulnerability Scanner Nessus wurde am 11.05.2010 ein Plugin mit der ID 46312 (MS10-030: Vulnerability in Outlook Express and Windows Mail Could Allow Remote Code Execution (978542)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet, im Kontext local ausgeführt und auf den Port 139 angewendet.
Die vorliegende Schwachstelle ist sicherlich als problematisch zu betrachten, bedingt aber dass das Opfer sich dazu bewegen lässt, zu einem entsprechend manipulierten POP3 Server zu verbinden. Das Anriffsszenario benötigt daher zusätzlichen Massnahmen (z.B. Social Engineering), weshalb von einer kritischen Einstufung abgesehen wird. Trotzdem sollte die Schwachstelle zeitnah durch das Einspielen entsprechender Patches behoben werden, um eine unnötige Exponierung zu vermeiden.
CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
CPE
- cpe:/o:microsoft:windows
Exploiting
Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Nessus ID: 46312
Nessus Name: MS10-030: Vulnerability in Outlook Express and Windows Mail Could Allow Remote Code Execution (978542)
Nessus Family: Windows : Microsoft Bulletins
Nessus Context: local
Nessus Port: 139
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Patch: MS10-030
Timeline
02.03.2010 | CVE zugewiesen
11.05.2010 | Advisory veröffentlicht
11.05.2010 | Gegenmassnahme veröffentlicht
11.05.2010 | Nessus Plugin veröffentlicht
11.05.2010 | OSVDB Eintrag erstellt
19.05.2010 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: MS10-030
Person: Francis Provencher
Firma: Protek Research Labs
OSVDB: 64530
CVE: CVE-2010-0816 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 39766
SecurityFocus: 40052
