Gefährliche Sicherheitslücke im Windows Media Player

Microsofts Sicherheitsstrategie wird zur reinen Farce

Am Februar-Patch-Day des heutigen 11. Februar 2004 veröffentlichte Microsoft auch einen Patch für ein gefährliches Sicherheitsleck für alle Versionen des Windows Media Player. Allerdings geschah dies nicht - wie zu erwarten wäre - über das entsprechende Security Bulletin. Stattdessen veröffentlichte Microsoft alle Informationen darüber lediglich in einem Knowledge-Base-Artikel, womit die neue Sicherheitsstrategie von Microsoft jegliche Nachvollziehbarkeit verliert.

Artikel veröffentlicht am ,

Das Sicherheitsleck in mehreren Versionen des Windows Media Player gestattet es einem Angreifer, in einen Audio- oder Video-Stream ausführbaren Script-Code in Form einer URL einzubinden, der dann in der lokalen Sicherheitszone des Opfers ausgeführt werden kann. Damit erlangt ein Angreifer umfassende Kontrolle über ein fremdes System, indem ein Opfer lediglich einen Audio- oder Video-Stream mit dem Windows Media Player empfängt.

In einem Knowledge-Base-Artikel begründet Microsoft das Verhalten damit, dass es sich dabei eigentlich gar nicht um einen Fehler handele, sondern dies eine extra implementierte Funktion darstelle. Dennoch sieht sich Microsoft veranlasst, für diese "Funktion" einen Patch anzubieten. Der auch in deutscher Sprache kostenlos zum Download angebotene Patch nimmt einen neuen Eintrag in der Registry vor. Darüber kann ein Administrator bestimmen, wie URL-Daten in entsprechenden Audio- und Video-Streams verarbeitet werden. So erklärt der betreffende Knowledge-Base-Artikel, unter welchen Umständen der Windows Media Player entsprechende URLs in Streaming-Daten berücksichtigt.

Sah es einige Monate so aus, als ob Microsoft mit seiner neuen Sicherheitsstrategie Erfolg hatte, hinterlässt der heutige Tag mindestens ein zwiespältiges Bild. In den vergangenen Monaten hat Microsoft Sicherheits-Patches nur einmal im Monat veröffentlicht und ist auch bis Februar 2004 nicht davon abgerückt. Mit dem heutigen 11. Februar 2004 hinterlässt Microsoft aber vor allem Verwirrung bei den Anwendern: Denn zum einen wurde das im Februar 2004 erschienene Security Bulletin eine Woche nach der ersten Veröffentlichung komplett umgekrempelt. Zum anderen enthält das entsprechende Dokument nicht alle veröffentlichten Sicherheits-Patches, wie das Sicherheitsloch im Windows Media Player belegt. Damit kann das Ziel der neuen Sicherheitsstrategie Microsofts in dem Punkt als gescheitert angesehen werden, dem Anwender mit einem monatlichen Patch-Day einen leichteren Überblick über Sicherheitslücken zu verschaffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
Microsofts monatlicher Patch-Day wieder im Wochenrhythmus?
Virtual PC für MacOS braucht Sicherheits-Patch
Erneut Sicherheitsleck im Windows Media Player entdeckt
Meistgelesen
artikel-bild
Blizzard
Preise im Itemshop von Diablo 4 entfachen Empörung
artikel-bild
Kernkraft-Utopien
Ein Rückblick auf die nukleare Zukunft
artikel-bild
Sipeed Tang Nano im Test
Günstiger FPGA-Einstieg mit Frustpotenzial
Kommentarübersicht
Welch Überraschung...
Scratchy 27. Feb 2004

Ich finde M$-Produkte sollte nicht unter "software" in den regalen stehen sondern als...

Re: Eintrag gelöscht, wieso??
CK (Golem.de) 12. Feb 2004

Ja, aber Du hast keine Meinung geäußert, Du hast eine vermeintliche Tatsache benannt. Es...

Lücken
User 12. Feb 2004

Vielleicht haben die Leute von Microsoft die Sicherheitslücken von sich aus schon vorher...

Eintrag gelöscht, wieso??
User 12. Feb 2004

Wieso löscht ihr meinen Eintrag GOLEM???? Ich denke in Deutschland herscht...

Aktuell auf der Startseite von Golem.de
Blizzard
Preise im Itemshop von Diablo 4 entfachen Empörung

Die Community reagiert sauer auf Leaks über die Preise im Itemshop von Diablo 4. Ein Rüstungsset kostet fast so viel wie früher ein Add-on.

Blizzard: Preise im Itemshop von Diablo 4 entfachen Empörung
Artikel
  1. Schufa-Score: Hohes Bußgeld wegen Kreditkartenablehnung ohne Begründung
    Schufa-Score
    Hohes Bußgeld wegen Kreditkartenablehnung ohne Begründung

    Die DKB hat einen Kreditkartenantrag nur gestützt auf Algorithmen und den Schufa-Score abgelehnt und dies auch nicht begründet. Das kostet 300.000 Euro Bußgeld.

  2. Generative Fill: Wie Adobes KI-Funktionen das Internet spalten
    Generative Fill
    Wie Adobes KI-Funktionen das Internet spalten

    Die KI-Füllfunktion in Photoshop erfindet Hintergründe zu Gemälden oder Album-Covern. Einige finden das kreativ, andere sehen die Kunst bedroht.

  3. Glasfaser: Netcologne unterscheidet nicht zwischen FTTH und FTTB
    Glasfaser
    Netcologne unterscheidet nicht zwischen FTTH und FTTB

    Telekom und Vodafone überbauen das Netz von Netcologne in Köln. Doch was für ein Netz hat Netcologne?

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Gigabyte RTX 3060 Ti 369€ • Kingston Fury SSD 2TB (PS5-komp.) 129,91€ • Sony Deals Week • MindStar: Corsair Crystal RGB Midi Tower 119€, Palit RTX 4070 659€ • Roccat bis -50% • AVM Modems & Repeater bis -36% • Logitech G Pro Wireless Maus 89€ • The A500 Mini 74,99€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /