Microsoft Windows bis XP mit Service Pack 2 winhlp32.exe korrupte HLP-Datei Pufferüberlauf
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.11 |
Zusammenfassung
Eine Schwachstelle wurde in Microsoft Windows bis XP SP2 entdeckt. Sie wurde als kritisch eingestuft. Betroffen hiervon ist ein unbekannter Ablauf der Datei winhlp32.exe der Komponente HLP File Handler. Die Manipulation führt zu Pufferüberlauf. Diese Schwachstelle trägt die Bezeichnung CVE-2004-1049. Der Angriff kann remote ausgeführt werden. Zusätzlich gibt es einen verfügbaren Exploit. Es wird geraten, die betroffene Komponente durch eine alternative Komponente auszutauschen.
Details
Die beiden Betriebssysteme Microsoft Windows 2000 und XP sind eine Weiterentwicklung des professionellen Microsoft Windows NT Systems. Es existieren Versionen für den Einsatz als Server und solche für den Workstation-Betrieb. Flashsky meldete gleich mehrere kritische Sicherheitslücken in Microsoft Windows bis XP mit Service Pack 2. Eine davon ist durch eine Pufferüberlauf-Attacke mittels einer korrupten HLP-Datei gegeben. Ein Angreifer kann so über die Applikation winhlp32.exe beliebigen Programmcode ausführen lassen. Zusammen mit dem Advisory wurden auch zwei Exploits - einen Heap und einen Integer Overflow - publiziert. Microsoft hat noch keine Lösung für das Problem, wird aber voraussichtlich in den kommenden Monaten mit einem Patch reagieren. In der Zwischenzeit wird empfohlen, keine HLP-Dateien unbekannter oder zwielichtiger Herkunft zu öffnen. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (18768), Exploit-DB (721), Tenable (16124), SecurityFocus (BID 12095†) und OSVDB (12623†) dokumentiert. Die Schwachstellen VDB-1087, VDB-1086, VDB-22597 und VDB-24252 sind ähnlich. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Für den Vulnerability Scanner Nessus wurde am 11.01.2005 ein Plugin mit der ID 16124 (MS05-002: Cursor and Icon Format Handling Code Execution (891711)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 90211 (Microsoft Cursor and Icon Format Handling Remote Code Execution (MS05-002)) zur Prüfung der Schwachstelle an.
Diese Schwachstelle ist in erster Linie ärgerlich, denn durch den Denial of Service-Zugriff lässt sich der Betrieb ziemlich einfach stören. Benutzer sollten deshalb auf der Hut sein, denn Spam-Mails oder Viren könnten den Umstand nutzen, um ihren Schabernack zu betreiben. Gegenmassnahmen, das Einspielen des Service Pack 2 für Microsoft Windows XP, sind deshalb im Zusammenhang mit den anderen Schwachstellen ein Muss.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
- end of life (old version)
Webseite
- Hersteller: https://www.microsoft.com/
- Produkt: https://www.microsoft.com/en-us/windows
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.6VulDB Meta Temp Score: 5.1
VulDB Base Score: 5.6
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 16124
Nessus Name: MS05-002: Cursor and Icon Format Handling Code Execution (891711)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Saint ID: exploit_info/windows_cursor_icon
Saint Name: Windows Cursor and Icon handling vulnerability
Qualys ID: 🔍
Qualys Name: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: AlternativeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍
Patch: windowsupdate.microsoft.com
Snort ID: 3079
Snort Message: BROWSER-IE Microsoft Internet Explorer ANI file parsing buffer overflow attempt
Snort Klasse: 🔍
Suricata ID: 2103079
Suricata Klasse: 🔍
Suricata Message: 🔍
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
SourceFire IPS: 🔍
PaloAlto IPS: 🔍
Timeline
17.11.2004 🔍20.12.2004 🔍
20.12.2004 🔍
20.12.2004 🔍
23.12.2004 🔍
24.12.2004 🔍
25.12.2004 🔍
25.12.2004 🔍
31.12.2004 🔍
02.01.2005 🔍
10.01.2005 🔍
11.01.2005 🔍
11.01.2005 🔍
11.01.2005 🔍
03.01.2025 🔍
Quellen
Hersteller: microsoft.comProdukt: microsoft.com
Advisory: xfocus.net
Person: Flashsky
Firma: X-Focus
Status: Bestätigt
CVE: CVE-2004-1049 (🔍)
GCVE (CVE): GCVE-0-2004-1049
GCVE (VulDB): GCVE-100-1088
OVAL: 🔍
CERT: 🔍
X-Force: 18768
SecurityFocus: 12095 - Microsoft Windows LoadImage API Function Integer Overflow Vulnerability
Secunia: 13645 - Microsoft Windows Multiple Vulnerabilities, Highly Critical
OSVDB: 12623 - Microsoft Windows LoadImage API Overflow
SecurityTracker: 1012684
Vulnerability Center: 6700 - [MS05-002] Microsoft Windows Cursor and Icon Formats Allow Remote Code Execution, Medium
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 10.01.2005 10:44Aktualisierung: 03.01.2025 15:42
Anpassungen: 10.01.2005 10:44 (100), 30.06.2019 19:00 (13), 10.03.2021 12:41 (2), 03.01.2025 15:42 (22)
Komplett: 🔍
Cache ID: 216:291:103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.