Gefährliche Sicherheitslücke im Windows Media Player

Microsofts Sicherheitsstrategie wird zur reinen Farce. Am Februar-Patch-Day des heutigen 11. Februar 2004 veröffentlichte Microsoft auch einen Patch für ein gefährliches Sicherheitsleck für alle Versionen des Windows Media Player. Allerdings geschah dies nicht - wie zu erwarten wäre - über das entsprechende Security Bulletin. Stattdessen veröffentlichte Microsoft alle Informationen darüber lediglich in einem Knowledge-Base-Artikel, womit die neue Sicherheitsstrategie von Microsoft jegliche Nachvollziehbarkeit verliert.

11. Februar 2004 um 14:27 Uhr / Ingo Pakalski

Kommentare News folgen (öffnet im neuen Fenster)

Das Sicherheitsleck in mehreren Versionen des Windows Media Player gestattet es einem Angreifer, in einen Audio- oder Video-Stream ausführbaren Script-Code in Form einer URL einzubinden, der dann in der lokalen Sicherheitszone des Opfers ausgeführt werden kann. Damit erlangt ein Angreifer umfassende Kontrolle über ein fremdes System, indem ein Opfer lediglich einen Audio- oder Video-Stream mit dem Windows Media Player empfängt.

In einem Knowledge-Base-Artikel begründet Microsoft das Verhalten damit, dass es sich dabei eigentlich gar nicht um einen Fehler handele, sondern dies eine extra implementierte Funktion darstelle. Dennoch sieht sich Microsoft veranlasst, für diese "Funktion" einen Patch anzubieten. Der auch in deutscher Sprache kostenlos zum Download(öffnet im neuen Fenster) angebotene Patch nimmt einen neuen Eintrag in der Registry vor. Darüber kann ein Administrator bestimmen, wie URL-Daten in entsprechenden Audio- und Video-Streams verarbeitet werden. So erklärt der betreffende Knowledge-Base-Artikel(öffnet im neuen Fenster) , unter welchen Umständen der Windows Media Player entsprechende URLs in Streaming-Daten berücksichtigt.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Koordinator*in Unternehmenskommunikation mit leitender Fachverantwortung IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)

Systemadministrator:in (m/w/d) MANDARIN MEDIEN Gesellschaft für digitale Lösungen mbH, Schwerin,Home Office (öffnet im neuen Fenster)

Projekt Manager:in Schwerpunkt IT-Security (m/w/x) STRABAG BRVZ GmbH & Co. KG, Köln,Stuttgart (öffnet im neuen Fenster)

Solution Owner (m/w/d) User Support MEYER WERFT GmbH, Papenburg (öffnet im neuen Fenster)

Data Engineer BI-Kennzahlen (m/w/d) Finanz Informatik GmbH & Co. KG, Hannover,Frankfurt am Main,Münster (öffnet im neuen Fenster)

Informatiker/ ICT-Techniker (m/w/d) Europäische Schule München, München (öffnet im neuen Fenster)

Senior Java-Entwickler (m/w/d) für die Anwendungsentwicklung Schadenregulierung ivv GmbH, Hannover (öffnet im neuen Fenster)

Portfoliomanager (m/w/d) Finanz Informatik GmbH & Co. KG, Frankfurt am Main,Münster,Hannover (öffnet im neuen Fenster)

Sah es einige Monate so aus, als ob Microsoft mit seiner neuen Sicherheitsstrategie Erfolg hatte, hinterlässt der heutige Tag mindestens ein zwiespältiges Bild. In den vergangenen Monaten hat Microsoft Sicherheits-Patches nur einmal im Monat veröffentlicht und ist auch bis Februar 2004 nicht davon abgerückt. Mit dem heutigen 11. Februar 2004 hinterlässt Microsoft aber vor allem Verwirrung bei den Anwendern: Denn zum einen wurde das im Februar 2004 erschienene Security Bulletin eine Woche nach der ersten Veröffentlichung komplett umgekrempelt . Zum anderen enthält das entsprechende Dokument nicht alle veröffentlichten Sicherheits-Patches, wie das Sicherheitsloch im Windows Media Player belegt. Damit kann das Ziel der neuen Sicherheitsstrategie Microsofts in dem Punkt als gescheitert angesehen werden, dem Anwender mit einem monatlichen Patch-Day einen leichteren Überblick über Sicherheitslücken zu verschaffen.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Relevante Themen