Microsoft Security Bulletin MS04-010
Sicherheitsanfälligkeit in MSN Messenger kann zur Offenlegung von Informationen führen (838512)
Auf dieser Seite
 | Zusammenfassung |
| Technische Details |
| Problemumgehungen |
| Häufig gestellte Fragen (FAQs) |
| Informationen zum Sicherheitsupdate |
Zurück zur Übersicht
Zusammenfassung
Zielgruppe dieses Bulletin: Benutzer von Microsoft MSN Messenger
Auswirkungen der Sicherheitsanfälligkeiten: Offenlegung von Informationen
Bewertung des maximalen Schweregrads: Mittel
Empfehlung: Installieren Sie das Sicherheitsupdate sofort.
Ersetzte Sicherheitsupdates: Keine
Vorsichtsmaßnahmen: Keine
Getestete Software und Downloadpfade für das Update
Betroffene Software:
| • | Microsoft MSN Messenger 6.0 – Update downloaden |
| • | Microsoft MSN Messenger 6.1 – Update downloaden |
Hinweis: Zur Installation des Sicherheitsupdates ist die vollständige Neuinstallation des MSN Messengers notwendig. Die Downloadadressen für die Versionen 6.0 und 6.1 sind identisch. Nutzer des MSN Messengers werden in den nächsten Tagen automatisch beim Anmelden des MSN Messengers zur Installation des Sicherheitsupdates aufgefordert.
Nicht betroffene Software:
| • | Windows Messenger (alle Versionen) |
Die oben aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Für andere Versionen ist entweder keine weitere Unterstützung für Sicherheitsupdates erhältlich, oder sie sind möglicherweise nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln.
Technische Details
Technische Beschreibung:
Der Microsoft MSN Messenger weist eine Sicherheitsanfälligkeit auf, die mit der Art und Weise zusammenhängt, in der das Programm Dateianforderungen verarbeitet. Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Anforderung an einen Benutzer sendet, der MSN Messenger verwendet. Wenn diese Sicherheitsanfälligkeit erfolgreich ausgenutzt wird, könnte ein Angreifer unbemerkt die Inhalte einer Datei auf der Festplatte des Benutzers anzeigen, sofern ihm der Speicherort der Datei bekannt ist und der Benutzer über Lesezugriff auf die Datei verfügt.
Um diese Sicherheitsanfälligkeit ausnutzen und die Anforderung senden zu können, müsste ein Angreifer den Anmeldenamen des MSN Messenger-Benutzers kennen.
Schadensbegrenzende Faktoren:
| • | Ein Angreifer muss den Anmeldenamen des Benutzers kennen. |
| • | Hat der Benutzer den Erhalt von Nachrichten anonymer, nicht in der persönlichen Kontaktliste enthaltener Benutzer blockiert, indem er in der Liste der blockierten Absender die Option Alle Benutzer gewählt hat, kann ein Angreifer diese Sicherheitsanfälligkeit nur dann ausnutzen, wenn sein Messenger-Konto in der Liste der zulässigen Kontakte des Benutzers enthalten ist. |
| • | Der Angreifer könnte nur solche Dateien anzeigen, für die der Benutzer über Lesezugriff verfügt. Wenn der Benutzer mit eingeschränkten Berechtigungen angemeldet ist, schränkt dies auch die Anzahl der Dateien ein, auf die der Angreifer zugreifen könnte. |
Bewertung des Schweregrads:
Microsoft MSN Messenger 6.0 | Mittel |
Microsoft MSN Messenger 6.1 | Mittel |
Die oben getroffene Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Angriff der Sicherheitsanfälligkeit auf sie hat.
Kennung der Sicherheitsanfälligkeit: CAN-2004-0122
Problemumgehungen
Keine
Häufig gestellte Fragen (FAQs)
Worin genau besteht die Sicherheitsanfälligkeit?
Dies ist eine Sicherheitsanfälligkeit, die sich auf die Offenlegung von Informationen (Information Disclosure) bezieht. Ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, könnte unbemerkt die Inhalte einer Datei auf der Festplatte des Benutzers anzeigen, sofern ihm der genaue Speicherort der Datei bekannt ist.
Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit ergibt sich aus der Methode, mit der MSN Messenger Dateianforderungen zwischen zwei MSN Messenger-Konten verarbeitet. Bei der Sitzungserstellung werden bestimmte Anforderungsinhalte nicht überprüft.
Was ist MSN Messenger?
MSN Messenger ist ein Instant Messaging-Programm, mit dem Benutzer untereinander Sofortnachrichten versenden oder Peer-zu-Peer-Sitzungen für den gemeinsamen Sprach- oder Videozugriff bzw. den Dateiversand einrichten können.
Was ist Windows Messenger?
Windows Messenger ist ebenfalls ein Instant Messaging-Programm mit ähnlichen Funktionen wie MSN Messenger. Windows Messenger ist im Lieferumfang von Windows XP enthalten und auch dann verfügbar, wenn MSN Messenger 6.1 auf dem Computer installiert wird. Windows Messenger kann Verbindungen zu Communications Service und Exchange Instant Messaging herstellen, die ausschließlich in Unternehmensumgebungen eingesetzt werden. Weitere Informationen zum Windows Messenger finden Sie auf dieser Website (englischsprachig).
Betrifft diese Sicherheitsanfälligkeit auch Windows Messenger?
Nein. Die Sicherheitsanfälligkeit betrifft ausschließlich die Überprüfungsmethode von Dateianforderungen durch MSN Messenger.
Welcher Fehler liegt bei der Verarbeitung von Dateianforderungen durch MSN Messenger vor?
Die Sicherheitsanfälligkeit ergibt sich aus der Überprüfung von Anforderungen durch MSN Messenger. Ein Angreifer könnte eine Anforderung so gestalten, dass MSN Messenger die Anzeige einer Datei auf der Festplatte zulässt.
Warum entsteht auf diese Weise eine Sicherheitsanfälligkeit?
Durch die Sicherheitsanfälligkeit könnte ein Angreifer vertrauliche Dateien bzw. Benutzernamen oder Kennwörter anzeigen. Allerdings kann der Angreifer diese Dateien weder bearbeiten noch ändern.
Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Lesezugriff auf jede Datei des Benutzers erlangen, deren Speicherort ihm bekannt ist. Der Angreifer könnte dann versuchen, diese Dateien zu lesen, ohne dass der Benutzer dies bemerken würde.
Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Jeder Benutzer, der MSN Messenger verwendet und einen bestimmten Benutzernamen kennt, könnte versuchen, die Sicherheitsanfälligkeit auszunutzen.
Was bewirkt das Update?
Das Update beseitigt die Sicherheitsanfälligkeit, indem die Verarbeitungsweise von Dateianforderungen durch MSN Messenger geändert wird.
Informationen zum Sicherheitsupdate
MSN Messenger 6.0 oder 6.1
Voraussetzungen:
Dieses Sicherheitsupdate erfordert Microsoft Windows.
Informationen zur Installation:
Neustartanforderung: Nach diesem Update ist ggf. ein Neustart des Computers erforderlich.
Informationen zur Deinstallation: Dieses Sicherheitsupdate kann nicht deinstalliert werden.
Überprüfen der Updateinstallation:
Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, führen Sie die folgenden Schritte durch:
1. | Klicken Sie in MSN Messenger auf ? und anschließend auf Über MSN Messenger. |
2. | Überprüfen Sie die Version. |
Wird die Versionsnummer 6.1 (6.1.0211) angezeigt, wurde das Update erfolgreich installiert.
Sonstige Informationen
Danksagung:
Microsoft dankt der folgenden Person oder Organisation, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet hat:
| • | qFox und Mephisto für den Hinweis auf die in diesem Bulletin beschriebene Sicherheitsanfälligkeit. |
Weitere Sicherheitsupdates:
Updates für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:
| • | Sicherheitsupdates sind im Microsoft Download Center verfügbar und können am einfachsten durch eine Schlüsselwortsuche nach dem Begriff "security_patch" oder "security_update" ermittelt werden. |
| • | Updates für Kundenplattformen können Sie auf der Website Windows Update abrufen. |
Support:
| • | Technischer Support ist über den Microsoft-Produktsupport erhältlich. Supportanrufe zu Sicherheitsupdates sind kostenlos. |
Sicherheitsressourcen für Windows:
| • | Das Microsoft Security Portal bietet weitere Informationen zur Sicherheit von Microsoft-Produkten. |
Verzichtserklärung:
Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.
Revisionen:
| • | V1.0 (09. März 2004): Bulletin veröffentlicht |