Sicherheitsloch in Hilfesystem von Windows XP entdeckt

Angreifer können beliebige Dateien über die Windows-Hilfe löschen

In Windows XP ersetzte Microsoft die bisherige Hilfefunktion des Betriebssystems durch ein so genanntes Hilfe- und Supportcenter. Wie die Mailingliste Bugtraq mitteilt, besitzt dies eine Sicherheitslücke, die es Angreifern erlaubt, beliebige Dateien auf einem fremden System zu löschen, sofern Name und Position der Datei bekannt sind.

Artikel veröffentlicht am ,

Wenn eine speziell präparierte URL im Browser geöffnet wird, startet dies das Hilfe- und Supportcenter von Windows XP. Wenn diese spezielle URL den Löschbefehl für eine Datei enthält, wird die betreffende Datei gelöscht, sobald das Hilfe- und Supportcenter geschlossen wird. Eine solch präparierte URL kann etwa über eine HTML-Seite oder eine E-Mail auf den Rechner eines Opfers gelangen. Immerhin erlaubt die Sicherheitslücke nur, Dateien mit den Privilegien des Anwenders zu löschen.

Stellenmarkt
  1. Digital Consultant (m/w/d)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. Senior Solution Architect M365 (m/w/d)
    operational services GmbH & Co. KG, Frankfurt am Main, München, Hamburg
Detailsuche

Als Notlösung bleibt derzeit, das Hilfe- und Supportcenter nicht manuell zu beenden, sondern den entsprechenden Task "HelpCtr.exe" im Taskmanager abzuschießen. Dann wird der Löschbefehl nicht ausgeführt. Alternativ kann man auch die Datei uplddrvinfo.htm verschieben oder löschen, so dass man von dem Problem nicht mehr betroffen ist.

Microsoft plant, das Problem erst mit der bevorstehenden Veröffentlichung des Service Pack 1 für Windows XP zu beheben. Ein separater Patch sei derzeit nicht geplant, heißt es in dem Bugtraq-Beitrag.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


#!/gfc/murdock 20. Aug 2002

Super Idee, wirklich toll. Ich finds generell nur etwas komisch, dass jeder gleich nen...

Der 20. Aug 2002

Und deiner erst recht

883 20. Aug 2002

Schlagt mich, ich bin ein Elch.

Peter Retep 20. Aug 2002

Wohl wahr.

nico 20. Aug 2002

welch geistreicher kommentar



Aktuell auf der Startseite von Golem.de
Garmin Fenix 7 im Test
Outdoor-Wearable mit fast allem Drin und Dran

Eine weitere Funktionslücke ist geschlossen: Nun hat auch die Garmin Fenix 7 einen Touchscreen - und noch mehr Akkulaufzeit.
Von Peter Steinlechner

Garmin Fenix 7 im Test: Outdoor-Wearable mit fast allem Drin und Dran
Artikel
  1. Musterfeststellungsklage: Parship kann eine Kündigungswelle erwarten
    Musterfeststellungsklage
    Parship kann eine Kündigungswelle erwarten

    Die Verbraucherzentrale ruft zur Kündigung bei Parship und zur Teilnahme an einer Musterfeststellungsklage auf. Doch laut Betreiber PE Digital ist das aussichtslos.

  2. Streaming: Discovery+ startet im Sommer in Deutschland
    Streaming
    Discovery+ startet im Sommer in Deutschland

    Sky-Q-Abonnenten sollen Discovery+ ein Jahr lang kostenlos nutzen können, sobald das Abo in Deutschland im Sommer startet.

  3. Autonome eVTOL-Flugzeuge: Wisk Aero erhält 450 Millionen US-Dollar von Boeing
    Autonome eVTOL-Flugzeuge
    Wisk Aero erhält 450 Millionen US-Dollar von Boeing

    Boeing beteiligt sich am Startup Wisk, das elektrisch angetriebene, senkrecht startende und landende Flugzeuge als Lufttaxi bauen will.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 Ti 8GB 1.039€ • 1TB SSD PCIe 4.0 127,67€ • RX 6900XT 16 GB für 1.495€ • Razer Gaming-Tastatur 155€ • LG OLED 65 Zoll 1.599€ • Alternate (u.a. Razer Gaming-Maus 39,99€) • RX 6800XT 16GB 1.229€ • Thrustmaster Ferrari-Lenkrad 349,99€ • Razer Gaming-Stuhl 179,99€ [Werbung]
    •  /