Abo
  • Services:

Lücke im entfleuchten Windows-Quelltext entdeckt (Update)

Modifizierte BMP-Datei erlaubt Angriff auf Internet Explorer und Outlook Express

Bislang versucht Microsoft noch in Bezug auf den im Internet veröffentlichten Windows-Quelltext zu beschwichtigen und schloss Konsequenzen für Windows-Nutzer aus. Doch für diese könnte der nun offen liegende Windows-Quelltext schon bald zusätzliche Patch-Arbeit mit sich bringen: Eine erste Sicherheitslücke im veröffentlichen Quelltext kam nun in der Mailingliste Full-Disclosure zum Vorschein.

Artikel veröffentlicht am ,

Bereits seit dem Wochenende (14./15. Februar 2004) gibt es Gerüchte, dass erste Sicherheitslücken von Dritten im Windows-Quelltext gefunden wurden, der seit Ende letzter Woche im Internet kursiert. Auch Möglichkeiten, diese auszunutzen, so genannte Exploits, sollen bereits existieren, wie vereinzelt zu lesen ist. Auf eine erste konkrete Sicherheitslücke wurde nun in Full-Disclosure hingewiesen.

Stellenmarkt
  1. ELAXY GmbH, Stuttgart, Jever, Puchheim bei München
  2. Universität Konstanz, Konstanz

Demnach wird in der Datei win2k/private/inet/mshtml/src/site/download/imgbmp.cxx eine Variable vom Typ Signed Integer für ein Offset benutzt, so dass sich mit einer entsprechend modifizierten Bitmap-Datei (.BMP) beispielsweise der Internet Explorer 5.0 unter Windows 98 zum Absturz bringen, möglicherweise aber auch eigener Code ausführen lässt. Auch Outlook Express 6.0 soll betroffen sein und sich zumindest zum Absturz bringen lassen.

Nachtrag vom 17. Februar 2004:
Die beschriebene Sicherheitslücke ist nach Aussage von Microsoft dem Unternehmen bereits bekannt und mit dem Service Pack 1 für den Internet Explorer 6 beseitigt worden. Auch das Windows XP Service Pack 1 sowie Windows Server 2003 sollen die entsprechenden Änderungen enthalten.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)

Scratchy 27. Feb 2004

Ich weiß zwar nicht wie viel des Sourcecodes im netz gelandet ist, aber ich bin mir 100...

THE MAN 18. Feb 2004

Auch wenn ich MS in vielen Punkten wohlgesonnen bin, die schnellsten im Patchen sind sie...

Gwanun 17. Feb 2004

Wenn man Basteln muss, befasst man sicher immerhin mit der Materie. Ergo: Man LERNT etwas...

rm -f / 17. Feb 2004

harharhar, der war gut! rm -f /

trident 17. Feb 2004

Wie wärs mit ein bisschen hirn? tja, wohl zuviel verlangt....


Folgen Sie uns
       


E3 2018, wenig Hardware, mehr Spiele - Livestream

Neue Hardware (PC, Konsolen, Handhelds) sind auf der diesjährigen E3 in Los Angeles wohl nicht zu erwarten, oder doch? Diese und andere spannende Fragen zur Messe diskutieren die Golem.de-Redakteure Peter Steinlechner und Michael Wieczorek im Livestream.

E3 2018, wenig Hardware, mehr Spiele - Livestream Video aufrufen
Sun to Liquid: Wie mit Sonnenlicht sauberes Kerosin erzeugt wird
Sun to Liquid
Wie mit Sonnenlicht sauberes Kerosin erzeugt wird

Wasser, Kohlendioxid und Sonnenlicht ergeben: Treibstoff. In Spanien wird eine Anlage in Betrieb genommen, in der mit Hilfe von Sonnenlicht eine Vorstufe für synthetisches Kerosin erzeugt oder Wasserstoff gewonnen wird. Ein Projektverantwortlicher vom DLR hat uns erklärt, warum die Forschung an Brennstoffen trotz Energiewende sinnvoll ist.
Ein Bericht von Werner Pluta

  1. Deep Sea Mining Deep Green holte Manganknollen vom Meeresgrund
  2. Klimaschutz Unter der Erde ist das Kohlendioxid gut aufgehoben
  3. Physik Maserlicht aus Diamant

Anthem angespielt: Action in fremder Welt und Abkühlung im Wasserfall
Anthem angespielt
Action in fremder Welt und Abkühlung im Wasserfall

E3 2018 Eine interessante Welt, schicke Grafik und ein erstaunlich gutes Fluggefühl: Golem.de hat das Actionrollenspiel Anthem von Bioware ausprobiert.

  1. Dying Light 2 Stadtentwicklung mit Schwung
  2. E3 2018 Eindrücke, Analysen und Zuschauerfragen
  3. Control Remedy Entertainment mit übersinnlichen Räumen

Hacker: Was ist eigentlich ein Exploit?
Hacker
Was ist eigentlich ein Exploit?

In Hollywoodfilmen haben Hacker mit Sturmmasken ein ganzes Arsenal von Zero-Day-Exploits, und auch sonst scheinen die kleinen Programme mehr und mehr als zentraler Begriff der IT-Sicherheit verstanden zu werden. Der Hacker Thomas Dullien hingegen versucht sich an einem theoretischen Modell eines Exploits.
Von Hauke Gierow

  1. IoT Foscam beseitigt Exploit-Kette in Kameras
  2. Project Capillary Google verschlüsselt Pushbenachrichtigungen Ende-zu-Ende
  3. My Heritage DNA-Dienst bestätigt Datenleck von 92 Millionen Accounts

    •  /