Abo
  • Services:

Zwei weitere Sicherheits-Patches für Windows-Plattform

Sicherheitslücken erlauben die Ausführung von Programmcode

Wie Microsoft in zwei aktuellen Security Bulletins berichtet, enthalten zahlreiche Windows-Versionen vier Sicherheitslücken, wovon zwei als kritisch betrachtet werden. Zwei der gefährlichen Sicherheitslecks stecken in der HTML-Hilfe, die Bestandteil zahlreicher Windows-Funktionen ist. Die anderen beiden Sicherheitslücken sind Bestandteil der ZIP-Funktionen in einigen Windows-Ausführungen. Die als kritisch eingestuften Lecks erlauben die Kontrolle über ein fremdes System oder die Ausführung von Programmcode.

Artikel veröffentlicht am ,

Die HTML-Hilfe in zahlreichen Windows-Versionen enthält einen ungeprüften Puffer, den ein Angreifer dazu nutzen kann, beliebigen Programmcode in der Sicherheitszone des betreffenden Systems auszuführen. Dazu kann der Angreifer die entsprechenden Befehle in eine Webseite oder eine HTML-E-Mail einbinden, so dass ein Opfer einen Angriff zunächst nicht bemerkt.

Stellenmarkt
  1. K+G Konzeption und Gestaltung Agentur für Kommunikation GmbH & Co. KG, Münster
  2. Bechtle AG, deutschlandweit

Ein weiteres Sicherheitsleck im Hilfesystem umgeht die Sicherheitseinschränkungen bei der Ausführung von HTML-Hilfe-Dateien, die Shortcuts enthalten. Eigentlich sollte das Hilfesystem nur vertrauenswürdige chm-Dateien ausführen, was jedoch von einem Angreifer umgangen werden kann. Dabei werden die Shortcuts in den betreffenden Dateien nicht mehr in der vom Nutzer gewählten Sicherheitszone geöffnet, sondern in der lokalen Zone ausgeführt. Dadurch erhält ein Angreifer weitgehende Kontrolle über ein befallenes System.

Die von Microsoft als moderat eingestufte Sicherheitslücke taucht nur auf Systemen mit Windows 98 und installiertem Plus-Paket sowie Windows Millennium und XP auf und betrifft den Umgang mit komprimierten ZIP-Archiven. Auf allen drei Systemen lassen sich ZIP-Archive wie gewöhnliche Verzeichnisse bearbeiten. Ein ungeprüfter Puffer steckt in den Entpack-Routinen, so dass ein Angreifer eine Datei mit einem speziell formatierten Dateinamen aufrufen kann, um darüber beliebigen Programmcode auszuführen. Ein weiteres Leck erlaubt es einem Angreifer ebenfalls über die Entpack-Routine, eine Programmdatei in einem bestimmten Verzeichnis abzulegen. So lässt sich etwa schädlicher Programmcode im Autostart-Verzeichnis ablegen, so dass dieser bei jedem Rechnerstart geladen wird.

Patches zur Stopfung der Sicherheitslücke in der Windows-Hilfe bietet Microsoft über das entsprechende Security Bulletin für Windows 98, NT 4.0, 2000 und XP zum Download an. Nutzer von Windows Millennium müssen den Patch über die Windows-Update-Funktion herunterladen.

Auch gegen die ZIP-Sicherheitslücke stellt Microsoft die Patches für Windows 98 mit installiertem Plus-Paket und Windows XP über das Security Bulletin zum Download bereit. Nutzer von Windows Millennium werden wieder auf das Windows-Update verwiesen.



Anzeige
Hardware-Angebote
  1. 915€ + Versand
  2. täglich neue Deals bei Alternate.de
  3. 59,79€ inkl. Rabatt
  4. (reduzierte Überstände, Restposten & Co.)

KoTxE 07. Okt 2002

Ähm, gibt es schon eine deutsche XP-Version? Der weil sich die Englische ja nicht auf...


Folgen Sie uns
       


ZTE Axon 9 Pro - Hands on (Ifa 2018)

Das Axon 9 Pro ist ZTEs erstes Smartphone nach der Beinahe-Pleite. In einem ersten Hands on hat uns das Gerät gut gefallen - besonders bei dem Preis von 650 Euro.

ZTE Axon 9 Pro - Hands on (Ifa 2018) Video aufrufen
Elektroroller-Verleih Coup: Zum Laden in den Keller gehen
Elektroroller-Verleih Coup
Zum Laden in den Keller gehen

Wie hält man eine Flotte mit 1.000 elektrischen Rollern am Laufen? Die Bosch-Tochter Coup hat in Berlin einen Blick hinter die Kulissen der Sharing-Wirtschaft gewährt.
Ein Bericht von Friedhelm Greis

  1. Neue Technik Bosch verkündet Durchbruch für saubereren Diesel
  2. Halbleiterwerk Bosch beginnt Bau neuer 300-mm-Fab in Dresden
  3. Zu hohe Investionen Bosch baut keine eigenen Batteriezellen

Shadow of the Tomb Raider im Test: Lara und die Apokalypse Lau
Shadow of the Tomb Raider im Test
Lara und die Apokalypse Lau

Ein alter Tempel und Lara Croft: Diese Kombination sorgt in Shadow of the Tomb Raider natürlich für gewaltige Probleme. Die inhaltlichen Unterschiede zu den Vorgängern sind erstaunlich groß, aber trotz guter Ideen vermag das Action-Adventure im Test nicht so richtig zu überzeugen.
Ein Test von Peter Steinlechner

  1. Square Enix Systemanforderungen für Shadow of the Tomb Raider liegen vor
  2. Shadow of the Tomb Raider angespielt Lara und die Schwierigkeitsgrade
  3. Remasters Tomb Raider 1 bis 3 bekommen neue Engine

Grafikkarten: Das kann Nvidias Turing-Architektur
Grafikkarten
Das kann Nvidias Turing-Architektur

Zwei Jahre nach Pascal folgt Turing: Die GPU-Architektur führt Tensor-Cores und RT-Kerne für Spieler ein. Die Geforce RTX haben mächtige Shader-Einheiten, große Caches sowie GDDR6-Videospeicher für Raytracing, für Deep-Learning-Kantenglättung und für mehr Leistung.
Ein Bericht von Marc Sauter

  1. Tesla T4 Nvidia bringt Googles Cloud auf Turing
  2. Battlefield 5 mit Raytracing Wenn sich der Gegner in unserem Rücken spiegelt
  3. Nvidia Turing Geforce RTX 2080 rechnet 50 Prozent schneller

    •  /