Gefährliches Sicherheitsleck in aktuellen Windows-Versionen

Fehlerhaftes ActiveX-Control erlaubt Löschung von Windows-Zertifikaten

In einem aktuellen Security Bulletin berichtet Microsoft über eine Sicherheitslücke in einem ActiveX-Control, das es Angreifern ermöglicht, verschiedene Windows-Zertifikate zu löschen oder das Anlegen neuer Zertifikate zu verhindern. Microsoft bietet einen Patch für alle neueren Windows-Systeme zum Download an.

Artikel veröffentlicht am ,

Im ActiveX-Control namens "Certificate Enrollment Control" steckt ein Sicherheitsloch, über das Angreifer Windows-Zertifikate gezielt löschen können, die zur Anmeldung mit Netzwerk-Diensten benutzt werden. Eigentlich dient dieses Control dazu, zertifizierte Anmeldungen für Webseiten abzuwickeln. Ein Zugriff auf abgelegte Zertifikate sollte unmöglich sein. Als mögliche Angriffswege stehen die Bereitstellung einer präparierten Webseite bereit oder aber der Versand einer HTML-E-Mail, um auf das System eines Opfers zu gelangen.

Stellenmarkt
  1. Business Analyst (m/w/d) Schwerpunkt ECM-/CRM Systeme
    Kassenärztliche Vereinigung Baden-Württemberg, Stuttgart
  2. Digital Consultant (m/w/d)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
Detailsuche

Ein Angreifer kann etwa das verschlüsselte Surfen im Internet über Secure Sockets Layer (SSL) oder auch die Verschlüsselungsfunktion von E-Mails sabotieren und eine Nutzung unmöglich machen. Sogar die Verschlüsselungsmöglichkeit im Dateisystem von Windows 2000 und XP kann dadurch gestört werden. Microsoft stuft das Sicherheitsleck als kritisch ein und empfiehlt allen Windows-Nutzern das unverzügliche Aufspielen des Patches.

Der von Microsoft bereitgestellte Patch enthält eine neue Version des ActiveX-Controls. Webseiten-Betreiber müssen dazu ihre Seiten an das neue Control anpassen, wenn Sie dieses verwenden wollen. Zusätzlich behebt der Patch einen Fehler im SmartCard Enrollment Control, das zum Lieferumfang von Windows 2000 und XP gehört.

Der Patch steht in verschiedenen Ausführungen für Windows 98, Millennium, NT 4.0, 2000 sowie XP im entsprechenden Security Bulletin zum Download bereit. Für Windows Millennium und XP bietet Microsoft dort allerdings keinen deutschsprachigen Download an, während zumindest für Windows XP ein deutscher Patch an anderer Stelle bereit steht. Um den Patch aufspielen zu können, muss auf allen Systemen mindestens der Internet Explorer in der Version 5.0 installiert sein. Windows 2000 muss mindestens mit dem Service Pack 1 bestückt sein und Windows NT 4.0 verlangt nach dem Service Pack 6a. Der Patch verlangt auf allen genannten Windows-Systemen einen Neustart des Systems.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


voellig... 05. Sep 2002

......da MS inzwischen 48.000.000 XP weltweit verkauft. Doch sonnenklar , dass den...

MARO 30. Aug 2002

Hallo Tway und Danke eben so zurück! Es ist für einen Anwender nicht immer leicht zu...

TWay 30. Aug 2002

Danke MARO! Ist mir aus der Seele gesprochen. Im Klartext kann es auch heißen, wenn über...

Neuromancer 30. Aug 2002

Tss, noch so ein DAU, der glaubt, LiNUX sei viiiieeel sicherer als Windows, weil LiNUX ja...

MARO 29. Aug 2002

Hallo Computer-Anwender, lasst Euch nicht immer von irgendwelchen Pseudo-Profis den Bären...



Aktuell auf der Startseite von Golem.de
Geforce RTX 3050 im Test
Wir hätten gerne einen Steam-Liebling gesehen

Upgrade dank DLSS und Raytracing: Die Geforce RTX 3050 ist die erste Nvidia-Grafikkarte mit diesen Funktionen für theoretisch unter 300 Euro.
Ein Test von Marc Sauter

Geforce RTX 3050 im Test: Wir hätten gerne einen Steam-Liebling gesehen
Artikel
  1. Raumfahrt: SpaceX-Rakete stürzt voraussichtlich im März auf den Mond
    Raumfahrt
    SpaceX-Rakete stürzt voraussichtlich im März auf den Mond

    Ob sich Elon Musk so die erste Ankunft einer SpaceX-Rakete auf dem Mond vorgestellt hat?

  2. Open-Source-Sprachassistent Mycroft: Basteln mit Thorsten statt Alexa
    Open-Source-Sprachassistent Mycroft
    Basteln mit Thorsten statt Alexa

    Das US-Unternehmen Mycroft AI arbeitet an einem Open-Source-Sprachassistenten. Die Alexa-Alternative ist etwas für lange Winterabende.
    Ein Praxistest von Thorsten Müller

  3. Hosting: Hetzner erhöht Preise teils um 30 Prozent wegen Stromkosten
    Hosting
    Hetzner erhöht Preise teils um 30 Prozent wegen Stromkosten

    Die Server aus seiner Auktion kann der Hoster Hetzner offenbar nicht kostendeckend betreiben. Das könnte die ganze Branche betreffen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3090 24GB 2.349€ • RTX 3070 Ti 8GB 1.039€ • 1TB SSD PCIe 4.0 127,67€ • RX 6900XT 16 GB 1.495€ • Razer Gaming-Tastatur 155€ • LG OLED 65 Zoll 1.599€ • Razer Gaming-Maus 39,99€ • RX 6800XT 16GB 1.229€ • Thrustmaster Ferrari Lenkrad 349,99€ • Razer Gaming-Stuhl 179,99€ [Werbung]
    •  /