[MS] Update: Buffer Overflow bei der Verarbeitung von JPEG-Grafiken (GDI+) (833987) - MS04-028

win-sec-ssc at dfn-cert.de win-sec-ssc at dfn-cert.de
Thu Oct 14 14:16:28 CEST 2004


-----BEGIN PGP SIGNED MESSAGE-----

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung des Microsoft Product Security
Notification Service. Wir geben diese Informationen unveraendert an Sie
weiter.

Das Advisory MS04-028 ist von Microsoft ueberarbeitet worden (siehe
"Revisions:"):

 http://www.microsoft.com/technet/security/bulletin/ms04-028.mspx

 - Es stehen ueberarbeitete Patches fuer Office XP, Visio 2002 und
Project 2002 zur Verfuegung, die speziell Windows XP Service Pack 2
Installationen betreffen. Laut Microsoft ist es moeglich, dass die
urspruenglichen Patches mit Service Pack 2 nicht vollstaendig
installiert werden. Allerdings wird dieses nicht dem Benutzer durch
eine Fehlermeldung angezeigt. Bezueglich dieser Probleme hat Microsoft
den Knowledge Based Artikel 833987 veroeffentlicht. Einen Link auf den
Artikel finden Sie in der Beschreibung des Updates in dem Microsoft
Advisory MS04-028.

  - Es wird ein Programm zur Verfuegung gestellt, das nach verwundbaren
Systemen scannt (MS04-028 Enterprise Update Scanning Tool -
Beschreibung in Microsoft Knowledge Base Article 886988). Einen Link
auf den Artikel finden Sie in der Beschreibung des Updates in dem
Microsoft Advisory MS04-028.

 - Ein Patch fuer Windows Journal Viewer unter Windows 2000 ist
ueberarbeitet worden.

 - Die FAQ Sektion ist bezueglich der Programme Visio 2002 Viewer,
Visio 2003 Viewer, and PowerPoint 2003 Viewer ueberarbeitet worden.

Zur Erinnerung:

Die Verarbeitung von JPEG-Grafiken geschieht durch im
Windows-Betriebssystem verankerte Unterprogramme. Lediglich einige
spezielle Anwendungen wie beispielsweise Office XP bringen ihre eigenen
Routinen dafuer mit. Fuer diese Anwendungen existieren eigene Patches,
die zusaetzlich zu denen fuer das Betriebssystem eingespielt werden
muessen.

CAN-2004-0200 - Buffer Overflow bei der Verarbeitung von JPEG-Grafiken

  Bei der Verabeitung von JPEG-Grafiken durch das Windows-Betriebssystem
  oder durch einige Anwendungen kann ein Buffer Overflow ausgeloest
  werden. Bringt ein Angreifer den Benutzer eines verwundbaren Systems
  dazu, eine speziell aufgebaute JPEG-Grafikdatei zu oeffnen, so wird
  der Buffer Overflow ausgeloest und der Angreifer kann beliebigen Code
  auf dem System mit den Berechtigungen des aufrufenden Benutzers (im
  unguenstigsten Fall die Rechte von "Administrator") ausfuehren.

  Das Bild kann dabei von dem Angreifer in einer HTML-Seite oder E-Mail
  zur Verfuegung gestellt werden.


Betroffen sind die folgenden Software Pakete und Plattformen:

  Betroffene Systemkomponenten:
  
  Internet Explorer 6 SP1
  The Microsoft .NET Framework Version 1.0 SP2
  The Microsoft .NET Framework Version 1.1
  
  
  Betroffene Anwendungen:
  
  Microsoft Office XP SP3, enthaelt:
   - Outlook 2002
   - Word 2002
   - Excel 2002
   - PowerPoint 2002
   - FrontPage 2002
   - Publisher 2002
  
  Microsoft Office 2003, enthaelt: 
   - Outlook 2003
   - Word 2003
   - Excel 2003
   - PowerPoint 2003
   - FrontPage 2003
   - Publisher 2003
   - InfoPath 2003
   - OneNote 2003
  
  Microsoft Project 2002 SP1 (alle Versionen)
  Microsoft Project 2003 (alle Versionen)
  Microsoft Visio 2002 SP2 (alle Versionen)
  Microsoft Visio 2003 (alle Versionen)
  
  Microsoft Visual Studio .NET 2002, enthaelt:
   - Visual Basic .NET Standard 2002
   - Visual C# .NET Standard 2002
   - Visual C++ .NET Standard 2002
  
  Microsoft Visual Studio .NET 2003, enthaelt:
   - Visual Basic .NET Standard 2003
   - Visual C# .NET Standard 2003
   - Visual C++ .NET Standard 2003
   - Visual J# .NET Standard 2003
  
  The Microsoft .NET Framework Version 1.0 SDK SP2
  Microsoft Picture It! 2002 (alle Versionen)
  Microsoft Greetings 2002
  Microsoft Picture It! Version 7.0 (alle Versionen)
  Microsoft Digital Image Pro Version 7.0
  Microsoft Picture It! Version 9 (alle Versionen, einschliesslich
  Picture It! Bibliothek)
  Microsoft Digital Image Pro Version 9
  Microsoft Digital Image Suite Version 9
  Microsoft Producer for Microsoft Office PowerPoint (alle Versionen)
  Microsoft Platform SDK Redistributable: GDI+

  Microsoft Windows XP und XP SP1
  Microsoft Windows XP 64-Bit unx XP SP1
  Microsoft Windows XP 64-Bit Version 2003
  Microsoft Windows Server 2003
  Microsoft Windows Server 2003 64-Bit
  
  (In diesen Faellen muessen u.U. noch weitere Patches fuer verwundbare
  Anwendungen oder Systemkomponenten installiert werden.)
  
  Folgende Systeme sind betroffen, wenn eine verwundbare Anwendung oder
  Komponente installiert wurde:
  
  Microsoft Windows NT, Server, TS 4.0 SP 6a
  Microsoft Windows 2000 SP3 und SP4
  Microsoft Windows XP Service Pack 2
  Microsoft Windows 98(SE) und ME
  
  (In diesem Fall muss lediglich der Patch fuer die Anwendung oder die
  Systemkomponente installiert werden.)

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,


           Jan Kohlrausch, DFN-CERT

- --
Jan Kohlrausch (CSIRT), DFN-CERT Services GmbH
Web: https://www.dfn-cert.de/, Phone: +49-40-808077-555
PGP RSA/2048, A5DD03D1, A2 55 1C 51 0A 30 3E 78  5B 40 DA B7 14 F7 C9 E8



********************************************************************
Title: Microsoft Security Bulletin Re-Releases, October, 2004
Issued: October 12, 2004
********************************************************************

Summary
=======
The following bulletins have undergone a major revision increment. 
Please see the appropriate bulletin for more details.

* MS04-028

Bulletin Information:
=====================

* MS04-028

  - http://go.microsoft.com/?linkid=1190073
  - Reason for re-release: Bulletin updated to advise on the 
    availability of revised security updates for Office XP, 
    Visio 2002, and Project 2002 customers that are using Windows XP
    Service Pack 2. Microsoft Knowledge Based Article 833987 
    documents the currently known issues that customers may 
    experience when installing these security updates. The article 
    also documents recommended solutions for these issues. Microsoft
    has also released the MS04-028 Enterprise Update Scanning Tool
    to help customers detect and deploy the required updates. For 
    more information about the MS04-028 Enterprise Update Scanning 
    Tool, see Microsoft Knowledge Base Article 886988. Microsoft has 
    also released an update for Windows 2000 based systems that have
    installed the Windows Journal Viewer. The bulletin has also been
    updated with a new FAQ that addresses questions regarding the 
    Visio 2002 Viewer, Visio 2003 Viewer, and PowerPoint 2003 
    Viewer programs.
  - Originally posted: September 14, 2004
  - Updated: October 12,2004
  - Bulletin Severity Rating: Critical
  - Version: 2.0

********************************************************************

Support: 
========
Technical support is available from Microsoft Product Support 
Services at 1-866-PC SAFETY (1-866-727-2338). There is no 
charge for support calls associated with security updates. 
International customers can get support from their local Microsoft 
subsidiaries. Phone numbers for international support can be found
at: http://go.microsoft.com/?linkid=1190074
 
Additional Resources:
=====================
* Microsoft has created a free monthly e-mail newsletter containing
  valuable information to help you protect your network. This
  newsletter provides practical security tips, topical security
  guidance, useful resources and links, pointers to helpful
  community resources, and a forum for you to provide feedback
  and ask security-related questions.
  You can sign up for the newsletter at:

  http://go.microsoft.com/?linkid=1190075

* Microsoft has created a free e-mail notification service that
  serves as a supplement to the Security Notification Service
  (this e-mail). It provides timely notification of any minor
  changes or revisions to previously released Microsoft Security
  Bulletins. This new service provides notifications that are
  written for IT professionals and contain technical information
  about the revisions to security bulletins.
  Visit http://go.microsoft.com/?linkid=1190076 to subscribe to this service:

  - Click on Subscribe at the top of the page.
  - This will direct you via Passport to the Subscription center.
  - Under Newsletter Subscriptions you can sign up for the
    "Microsoft Security Notification Service: Comprehensive Version".

* Protect your PC: Microsoft has provided information on how you 
  can help protect your PC at the following locations: 

  http://go.microsoft.com/?linkid=1190077

  If you receive an e-mail that claims to be distributing a 
  Microsoft security update, it is a hoax that may be distributing a 
  virus. Microsoft does not distribute security updates via e-mail. 
  You can learn more about Microsoft's software distribution 
  policies here: 

http://go.microsoft.com/?linkid=1190078


********************************************************************
THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS 
PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT 
DISCLAIMS ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING 
THE WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
PURPOSE.
IN NO EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE 
LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, 
INCIDENTAL, CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL 
DAMAGES, EVEN IF MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN 
ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. 
SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF LIABILITY 
FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE FOREGOING 
LIMITATION MAY NOT APPLY.
********************************************************************
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (SunOS)
Comment: Processed by Mailcrypt 3.5.8 <http://mailcrypt.sourceforge.net/>

iQEVAwUBQW5s8+I9ttyl3QPRAQGnZwgA0PKI/5FG1a5xdpKLGojXCTHc89b+pGvx
ZtyT8tjTmN+7COSMGKCR3MbbEYjLSLOA2mnIUE17oS9CezBAUocr+bFfP8z2SdTs
FBor44K/mUt7+KnQCXFkxx7jq3siFCdR7prhbfR34bfILt3UlJdJnidXhBjIyQx8
2CQP1m/mW8+cGfqKFIqgfnboubOK8RjqAaLyIyQktSrMR/pUSzqkqft9R3Zxm052
f99vB9NE6AhhWKYnvCi9W4yp4f6i0pbzYo+RIZ+/6IHdtm5HXP8oJVCk1USnmP7i
/tPBo8jtyTfG1pesBtvqYQBaxqE8h74y6zHsG9HLfdvYNUP7hG1QqQ==
=YbjW
-----END PGP SIGNATURE-----




More information about the Security-Announce mailing list