Abo
  • Services:
Anzeige

Erneut zwei Sicherheitslücken in Windows-Versionen

Sicherheitslecks erlauben die Ausführung von Programmcode

In zwei Security Bulletins berichtet Microsoft über weitere kritische Sicherheitslecks im Windows-Betriebssystem, wofür ab sofort passende Patches bereitstehen. Während eine Sicherheitslücke nur Windows XP mit installiertem Service Pack 1 betrifft, ist das andere Sicherheitsloch in mehreren Windows-Fassungen enthalten. Beide Lecks erlauben es einem Angreifer, beliebigen Programmcode auf einem fremden System auszuführen.

Anzeige

Eine Sicherheitslücke befindet sich im Remote-Procedure-Call-Protokoll (RPC), das zum Bestandteil der Windows-Versionen NT 4.0, 2000, XP sowie der Server-Fassungen NT 4.0 Terminal Services Edition und Server 2003 gehört. Über dieses Protokoll kann ein Programm andere Applikationen auf einem angeschlossenen PC ausführen, wobei die Sicherheitslücke ein DCOM-Interface betrifft, das auf dem TCP/IP-Port 135 nach Aktivitäten lauscht. Schickt ein Angreifer an diesen Port eine entsprechend formatierte Message, kann er beliebige Programme auf dem betreffenden System starten.

Microsoft betont, dass der Port 135 meist durch eine Firewall geschützt ist, so dass das Sicherheitsleck nur über eine Intranet-Verbindung ausgenutzt werden kann. Wo eine solche Firewall fehlt, ist eine Attacke auch über das Internet möglich. Ein Angreifer kann dann beliebigen Programmcode mit den Rechten des angemeldeten Nutzers ausführen und so Kontrolle über das System erlangen.

Im Desktop von Windows XP mit Service Pack 1 steckt das zweite Sicherheitsleck, das einen ungeprüften Puffer aufweist, wenn Attribut-Informationen von einem bestimmten Verzeichnis ausgelesen werden. Systeme mit Windows XP ohne Service Pack 1 weisen dieses Sicherheitsloch nicht auf. Ein Angreifer kann sich das Leck zu Nutze machen und eine spezielle Desktop.ini-Datei über ein Netzwerk-Laufwerk zur Verfügung stellen. Sobald der unbedarfte Anwender ein derart präpariertes Verzeichnis öffnet, kann der Angreifer beliebigen Programmcode auf dem System mit den Rechten des angemeldeten Nutzers ausführen oder den Windows-Desktop zum Absturz bringen.

Für das Sicherheitsloch in Windows XP mit Service Pack 1 stellt Microsoft einen entsprechenden Patch zum Download bereit. Ferner bietet Microsoft Patches gegen das Sicherheitsleck in Windows NT 4.0, 2000, XP, NT 4.0 Terminal Services Edition und Server 2003 für die verschiedenen Plattformen zum Download an.


eye home zur Startseite
MoRph_1 14. Aug 2003

naja wenn das bs so weit verbreitet ist sollte man da schon auf gewisse lücken hinweisen...

Hermes 12. Aug 2003

Kleine Frage : Ist es BESSER wenn ein Destributor einer Software WENIGER...

Michael 19. Jul 2003

Da unterscheidet sich Dein Wissen von meinem Wissen aber ganz gewaltig. Ausserdem, die...

Dirk 18. Jul 2003

Klar, es geht ja nur um Belustigung und nicht, dass man was von den Patches mitkriegt.

eyey 18. Jul 2003

Oberidiot



Anzeige

Stellenmarkt
  1. USU Business Solutions, Bonn
  2. Continental AG, Babenhausen
  3. Bechtle Onsite Services GmbH, Rheinmünster
  4. Continental AG, Frankfurt


Anzeige
Spiele-Angebote
  1. 16,99€
  2. 12,99€

Folgen Sie uns
       

  1. Datenbank

    Microsofts privater Bugtracker ist 2013 gehackt worden

  2. Windows 10

    Fall Creators Update wird von Microsoft offiziell verteilt

  3. Robert Bigelow

    Aufblasbare Raumstation um den Mond soll 2022 starten

  4. Axon M

    ZTE stellt Smartphone mit zwei klappbaren Displays vor

  5. Fortnite Battle Royale

    Epic Games verklagt Cheater auf 150.000 US-Dollar

  6. Microsoft

    Das Surface Book 2 kommt in zwei Größen

  7. Tichome Mini im Hands On

    Google-Home-Konkurrenz startet für 82 Euro

  8. Düsseldorf

    Telekom greift Glasfaserausbau von Vodafone an

  9. Microsoft

    Neue Firmware für Xbox One bietet mehr Übersicht

  10. Infrastrukturabgabe

    Kleinere deutsche Kabelnetzbetreiber wollen Geld von Netflix



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Re: Datenschutz

    ve2000 | 02:30

  2. Re: Präzedenzfall überfällig

    HorkheimerAnders | 02:17

  3. Re: Wenn ich das jetzt recht verstanden habe...

    ve2000 | 02:01

  4. Fehlendes Alleinstellungsmerkmal kann positiv...

    Dadie | 01:49

  5. Re: Was ist wenn meine Webseite Https erzwingt?

    ve2000 | 01:49


  1. 21:08

  2. 19:00

  3. 18:32

  4. 17:48

  5. 17:30

  6. 17:15

  7. 17:00

  8. 16:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel