Microsoft beseitigt schweres Sicherheitsleck vom Januar 2004
Sicherheits-Patch für die Windows-Shell endlich erschienen
Nach einer langen Wartezeit von knapp einem halben Jahr bietet Microsoft nun endlich einen Patch für eine schwere Sicherheitslücke vom Januar 2004 an, nachdem das Unternehmen in den vergangenen Monaten fünf Möglichkeiten zur Bereinigung des Fehlers hat verstreichen lassen. Ein Angreifer kann dem Internet Explorer mit Hilfe des Sicherheitslecks Dateien mit falschen Endungen unterschieben, die ein Opfer für ungefährlich hält und so gefährlichen Programmcode ausführt.
Das Sicherheitsloch steckt anders als zunächst angenommen in der Windows-Shell, die gefälschte CLASSIDs nicht abfängt. Da die Windows-Shell auch vom Internet Explorer verwendet wird, kann ein Angreifer dem Browser etwa über eine Webseite Dateien mit vorgeblich vertrauenswürdigen Endungen unterschieben. Als Angriffsszenario ließe sich etwa eine HTML-Datei so modifizieren, dass diese im Browser als PDF-Datei erscheint. Bei Ausführung der Datei werden dann aber die darin enthaltenen HTML-Kommandos ausgeführt.
Das verschafft einem Angreifer umfassende Kontrolle auf einem fremden System mit den Rechten des angemeldeten Nutzers. Verfügt das angemeldete Opfer über Administratorrechte, lassen sich etwa neue Konten anlegen, Programme starten oder Dateien löschen. Noch im Januar 2004 wurde angenommen, das Sicherheitsloch steckt nur im Internet Explorer und nicht auch in der Windows-Shell. Mit dem nun erschienenen Patch deaktiviert Microsoft die Möglichkeit, eine CLASSID als Dateityp innerhalb der Windows-Shell zu verwenden.
Unverständlich bleibt, warum Microsoft fünf Gelegenheiten und damit rund sechs Monate hat verstreichen lassen, den Fehler zu beheben. Denn nach der von Microsoft im Oktober 2003 ausgerufenen, neuen Sicherheitsstrategie will das Unternehmen eigentlich schwere Sicherheitslöcher zügig beheben und diese an einem monatlichen Patch-Day veröffentlichen, wovon es seither fünf gab. Erst am sechsten Patch-Day vom Juli 2004 nimmt sich Microsoft knapp sechs Monate nach Bekanntwerden des Sicherheitslochs der Sache an.
Da die Windows-Shell eine zentrale Komponente von Windows darstellt, betrifft das Sicherheitsloch Windows 98, 98SE, Millennium, NT 4.0, 2000 sowie XP einschließlich der entsprechenden Server-Versionen und Windows Server 2003. Allerdings bietet Microsoft aus unerfindlichen Gründen keinen Patch für Windows 98, 98SE und Millennium an, obgleich der Hersteller selbst das Risiko des Sicherheitslecks als hoch einstuft.
Zumindest für die übrigen Windows-Plattformen wird der Sicherheits-Patch für die Windows-Shell zum Download angeboten. Alternativ erhält man den Patch über die Windows-Update-Funktion.
Frank, ich stimme Dir zu, nicht für jeden Pipifax ein komplettes Szenario testen. Aber...
Naja, wie man es nimmt. In der Unternehmens-Gruppe, die mir z.Z. mein Dach über meinem...
Es geht nicht um das gesamt team sondern um den Kern (so wie ich "Kloß" verstanden habe...
sorry aber es ist ja nicht so das man das gesamt system testen muss wenn eine Komponente...
Wo bleiben diese doofen trolle, die sagen windows sei sicherer??? PS: Schön Microsoft...
Kommentieren