Abo
  • Services:

Erneut Patch gegen Sicherheitsleck in Windows-Hilfefunktion

Sicherheitsleck verschafft Angreifer umfassende Kontrolle über fremdes System

In einem aktuellen Security Bulletin informiert Microsoft anlässlich des monatlichen Patch-Day über ein weiteres Sicherheitsleck in den Hilfefunktionen von Windows XP und Server 2003. Das Sicherheitsloch erlaubt einem Angreifer, beliebigen Programmcode auf ein fremdes System zu schleusen und so eine umfassende Kontrolle über das System zu erlangen. Microsoft bietet Patches zum Download an.

Artikel veröffentlicht am ,

Die Sicherheitslücke steckt in der HCP-URL-Überprüfung der Hilfefunktionen, welche nicht korrekt durchgeführt wird. Über eine speziell formatierte HCP-URL kann ein Angreifer nicht nur Programmcode ausführen, sondern auch neue Konten auf einem System anlegen, sofern es die Rechte des angemeldeten Nutzers erlauben. Ein Eindringling erhält die gleichen Zugriffsrechte wie der regulär angemeldete Nutzer.

Stellenmarkt
  1. Mauth.CC GmbH, Mauth
  2. Bundeskriminalamt, Wiesbaden

Zur Ausnutzung des Sicherheitslecks muss ein Opfer eine entsprechend formatierte URL öffnen, was etwa durch Einbettung in eine E-Mail geschehen kann. Außerdem kann eine gesamte Seite per HTML-E-Mail versendet werden, so dass bei unzureichenden Sicherheitseinstellungen E-Mail-Clients angreifbar sind, welche die HTML-Funktionen des Betriebssytems verwenden wie etwa Outlook oder Outlook Express.

Microsoft stellt passende Patches über das betreffende Security Bulletin für Windows XP und Windows Server 2003 zum Download bereit.

Am Mai-Patch-Day aktualisierte Microsoft zwei alte Security Bulletins aus dem Jahr 2001 sowie ein weiteres aus dem April 2004. Das Security Bulletin vom 18. Oktober 2001 bietet einen aktualisierten Patch für Windows NT Server 4.0 Terminal Server Edition, der eine weitere Denial-of-Service-Attacke verhindern soll. Zudem wurde das Security Bulletin vom vergangenen Monat aktualisiert, das nun einen Patch für Windows XP anbietet, der korrekt übersetzte Jet-Fehlermeldungen enthält.



Anzeige
Top-Angebote
  1. 554,00€ (Bestpreis!)
  2. 59,99€ - Release 19.10.
  3. für 1,98€ statt 4,99€ in HD ausleihen (30 Tage Zeit, um Stream zu starten)
  4. für 1,99€ statt 4,99€ in HD ausleihen (30 Tage Zeit, um Stream zu starten)

Michael - alt 12. Mai 2004

Kommt aufs Unternehmen und seine Größe an. (Natürlich ist ein guter Adminstrator ein...

moek 12. Mai 2004

Das ist mir neu - meiner bisherigen Erfahrung nach haben Administratoren ein weit grö...

Michael - alt 12. Mai 2004

das ist aber für alle systeme eine administrative angelegenheit..... ich würde dir nur...

Michael - alt 12. Mai 2004

Deine Forderung ist ja in Ordnung. Nur ist sie nicht realistisch. Das ist das, was ich...

kressevadder 12. Mai 2004

gut wenn man sich dann anschauen kann, was da gepatcht wird - oder zumindest die...


Folgen Sie uns
       


Kaihua Kailh Speed-Switches - Test

Die goldenen KS-Switches von Kaihua haben einen kürzeren Hinweg als Cherry MX Blue und sind in der alltäglichen Nutzung angenehmer. Das liegt auch an der besseren Verarbeitung.

Kaihua Kailh Speed-Switches - Test Video aufrufen
Nissan Leaf: Wer braucht schon ein Bremspedal?
Nissan Leaf
Wer braucht schon ein Bremspedal?

Wie fährt sich das meistverkaufte Elektroauto? Nissan hat vor wenigen Monaten eine überarbeitete Version des Leaf auf den Markt gebracht. Wir haben es gefahren und festgestellt, dass das Auto fast ohne Bremse auskommt.
Ein Erfahrungsbericht von Werner Pluta

  1. e-NV200 Nissan packt 40-kWh-Akku in Elektro-Van
  2. Reborn Light Nissan-Autoakkus speisen Straßenlaternen
  3. Elektroauto Nissan will den IMx in Serie bauen

Wonder Workshop Cue im Test: Der Spielzeugroboter kommt ins Flegelalter
Wonder Workshop Cue im Test
Der Spielzeugroboter kommt ins Flegelalter

Bislang herrschte vor allem ein Niedlichkeitswettbewerb zwischen populären Spiel- und Lernrobotern für Kinder, jetzt durchbricht ein Roboter für jüngere Teenager das Schema nicht nur optisch: Cue fällt auch durch ein eher loseres Mundwerk auf.
Ein Test von Alexander Merz


    Black-Hoodie-Training: Einmal nicht Alien sein, das ist toll!
    Black-Hoodie-Training
    "Einmal nicht Alien sein, das ist toll!"

    Um mehr Kolleginnen im IT-Security-Umfeld zu bekommen, hat die Hackerin Marion Marschalek ein Reverse-Engineering-Training nur für Frauen konzipiert. Die Veranstaltung platzt inzwischen aus allen Nähten.
    Von Hauke Gierow

    1. Ryzenfall CTS Labs rechtfertigt sich für seine Disclosure-Strategie
    2. Starcraft Remastered Warum Blizzard einen Buffer Overflow emuliert

      •  /