| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine sehr kritische Schwachstelle in Microsoft Windows XP gefunden. Betroffen hiervon ist ein unbekannter Ablauf in der Bibliothek shimgvw.dll der Komponente EMF File Handler. Die Bearbeitung verursacht Remote Code Execution. Die Verwundbarkeit wird als CVE-2003-0906 geführt. Der Angriff kann remote ausgeführt werden. Ausserdem ist ein Exploit verfügbar. Die Deaktivierung der betroffenen Komponente wird empfohlen.
Details
Microsoft Windows XP stellt eine Weiterentwicklung des professionellen Windows 2000 dar. Dateien mit der Erweiterung .emf gelten als Enhanced Metafile, ein spezielles Grafikformat. Sie werden mitunter durch die Bibliothek shimgvw.dll interpretiert. Wie auf der amerikanischen Sicherheits-Mailingliste Bugtraq nachzulesen ist, bestehet eine Pufferüberlauf-Schwachstelle bei der Verarbeitung fehlerhafter emf-Dateien. Sie ist dadurch gegeben, dass die im Header angegebene Dateigrösse nicht korrekt verifiziert wird. Neben Denial of Service-Attacken ist ebenfalls das Ausführen von beliebigen Programmcode möglich. Genaue Details zur Schwachstelle oder ein Exploit sind nicht bekannt. Zu erst wurde vermutet, dass nur explorer.exe von der Schwachstelle betroffen ist. Wird eine korrupte emf-Datei in ein Verzeichnis kopiert und dieses durch den Explorer angezeigt, wird der Fehler unverzüglich ausgenutzt. Wie Folge-Postings, unter anderem von Chris Calabrese, auf Bugtraq jedoch gezeigt haben, sind auch noch andere Software-Teile unter Windows von der Schwachstelle betroffen. So interpretiert zum Beispiel der Internet Explorer emf-Dateien ohne Nachfragen. Wahrscheinlich ist auch Outlook betroffen. In Outlook sollte die Funktion aktiviert werden, jeglichen Mailinhalt als ASCII-Plaintext anzuzeigen. Aus dem Posting geht nicht hervor, ob Microsoft frühzeitig über die Schwachstelle informiert wurde. Microsoft hat am 13. April (zwei Monate nach dem Bekanntwerden der Schwachstelle) einen Patch, der unter anderem auch über die Autoupdate-Funktion bezogen werden kann, herausgegeben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (15818), Tenable (12205), SecurityFocus (BID 9707†), OSVDB (5252†) und Secunia (SA11064†) dokumentiert. Unter heise.de werden zusätzliche Informationen bereitgestellt. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-599, VDB-600, VDB-603 und VDB-601. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Für den Vulnerability Scanner Nessus wurde am 13.04.2004 ein Plugin mit der ID 12205 (MS04-011: Microsoft Hotfix (credentialed check) (835732)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 90108 (Multiple Microsoft Windows Vulnerabilities (MS04-011)) zur Prüfung der Schwachstelle an.
Das Problem schien auf den ersten Blick nur lokal existent zu sein. Nachforschungen haben aber ergeben, dass auch populäre Client-Software auf die verwundbare Bibliothek zurückgreif. Der Besuch einer bösartigen Webseite oder das Anzeigen eines eben solchen Emails kann zu einer Kompromittierung des Systems führen. Es liegt nun an Microsoft, dem Problem so schnell wie möglich Rechnung zu tragen und entsprechende Patches herauszugeben.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
- end of life (old version)
Webseite
- Hersteller: https://www.microsoft.com/
- Produkt: https://www.microsoft.com/en-us/windows
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.6VulDB Meta Temp Score: 5.1
VulDB Base Score: 5.6
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Remote Code ExecutionCWE: CWE-192 / CWE-189
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 12205
Nessus Name: MS04-011: Microsoft Hotfix (credentialed check) (835732)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 101011
OpenVAS Name: MS04-011 security check
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: DeaktivierenStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: windowsupdate.microsoft.com
Snort ID: 2435
Snort Message: FILE-IDENTIFY Microsoft emf file download request
Snort Klasse: 🔍
Timeline
01.11.2003 🔍04.11.2003 🔍
20.02.2004 🔍
20.02.2004 🔍
23.02.2004 🔍
24.02.2004 🔍
13.04.2004 🔍
13.04.2004 🔍
13.04.2004 🔍
13.04.2004 🔍
13.04.2004 🔍
01.06.2004 🔍
02.01.2025 🔍
Quellen
Hersteller: microsoft.comProdukt: microsoft.com
Advisory: MS04-011⛔
Person: Jellytop
Status: Bestätigt
CVE: CVE-2003-0906 (🔍)
GCVE (CVE): GCVE-0-2003-0906
GCVE (VulDB): GCVE-100-530
OVAL: 🔍
CERT: 🔍
X-Force: 15818 - Microsoft Windows MS04-011 patch is not installed, High Risk
SecurityFocus: 9707 - Microsoft Windows XP explorer.exe Multiple Memory Corruption Vulnerabilities
Secunia: 11064 - Microsoft Windows 14 Vulnerabilities, Highly Critical
OSVDB: 5252 - Microsoft Windows Metafile Code Execution
SecurityTracker: 1009756
Vulnerability Center: 4125
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 24.02.2004 17:41Aktualisierung: 02.01.2025 11:24
Anpassungen: 24.02.2004 17:41 (104), 27.06.2019 18:36 (2), 26.06.2024 20:46 (18), 02.01.2025 11:24 (5)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.