Abo
  • Services:

Microsoft beseitigt schweres Sicherheitsleck vom Januar 2004

Sicherheits-Patch für die Windows-Shell endlich erschienen

Nach einer langen Wartezeit von knapp einem halben Jahr bietet Microsoft nun endlich einen Patch für eine schwere Sicherheitslücke vom Januar 2004 an, nachdem das Unternehmen in den vergangenen Monaten fünf Möglichkeiten zur Bereinigung des Fehlers hat verstreichen lassen. Ein Angreifer kann dem Internet Explorer mit Hilfe des Sicherheitslecks Dateien mit falschen Endungen unterschieben, die ein Opfer für ungefährlich hält und so gefährlichen Programmcode ausführt.

Artikel veröffentlicht am ,

Das Sicherheitsloch steckt anders als zunächst angenommen in der Windows-Shell, die gefälschte CLASSIDs nicht abfängt. Da die Windows-Shell auch vom Internet Explorer verwendet wird, kann ein Angreifer dem Browser etwa über eine Webseite Dateien mit vorgeblich vertrauenswürdigen Endungen unterschieben. Als Angriffsszenario ließe sich etwa eine HTML-Datei so modifizieren, dass diese im Browser als PDF-Datei erscheint. Bei Ausführung der Datei werden dann aber die darin enthaltenen HTML-Kommandos ausgeführt.

Stellenmarkt
  1. TEMPTON Personaldienstleistungen GmbH, Berlin
  2. Rundfunk Berlin-Brandenburg (rbb), Potsdam

Das verschafft einem Angreifer umfassende Kontrolle auf einem fremden System mit den Rechten des angemeldeten Nutzers. Verfügt das angemeldete Opfer über Administratorrechte, lassen sich etwa neue Konten anlegen, Programme starten oder Dateien löschen. Noch im Januar 2004 wurde angenommen, das Sicherheitsloch steckt nur im Internet Explorer und nicht auch in der Windows-Shell. Mit dem nun erschienenen Patch deaktiviert Microsoft die Möglichkeit, eine CLASSID als Dateityp innerhalb der Windows-Shell zu verwenden.

Unverständlich bleibt, warum Microsoft fünf Gelegenheiten und damit rund sechs Monate hat verstreichen lassen, den Fehler zu beheben. Denn nach der von Microsoft im Oktober 2003 ausgerufenen, neuen Sicherheitsstrategie will das Unternehmen eigentlich schwere Sicherheitslöcher zügig beheben und diese an einem monatlichen Patch-Day veröffentlichen, wovon es seither fünf gab. Erst am sechsten Patch-Day vom Juli 2004 nimmt sich Microsoft knapp sechs Monate nach Bekanntwerden des Sicherheitslochs der Sache an.

Da die Windows-Shell eine zentrale Komponente von Windows darstellt, betrifft das Sicherheitsloch Windows 98, 98SE, Millennium, NT 4.0, 2000 sowie XP einschließlich der entsprechenden Server-Versionen und Windows Server 2003. Allerdings bietet Microsoft aus unerfindlichen Gründen keinen Patch für Windows 98, 98SE und Millennium an, obgleich der Hersteller selbst das Risiko des Sicherheitslecks als hoch einstuft.

Zumindest für die übrigen Windows-Plattformen wird der Sicherheits-Patch für die Windows-Shell zum Download angeboten. Alternativ erhält man den Patch über die Windows-Update-Funktion.



Anzeige
Spiele-Angebote
  1. 32,49€
  2. 5,99€
  3. (-78%) 6,66€
  4. 2,50€

Michael - alt 16. Jul 2004

Frank, ich stimme Dir zu, nicht für jeden Pipifax ein komplettes Szenario testen. Aber...

Autor 15. Jul 2004

Naja, wie man es nimmt. In der Unternehmens-Gruppe, die mir z.Z. mein Dach über meinem...

Frank 14. Jul 2004

Es geht nicht um das gesamt team sondern um den Kern (so wie ich "Kloß" verstanden habe...

Frank 14. Jul 2004

sorry aber es ist ja nicht so das man das gesamt system testen muss wenn eine Komponente...

Hauke 14. Jul 2004

Wo bleiben diese doofen trolle, die sagen windows sei sicherer??? PS: Schön Microsoft...


Folgen Sie uns
       


Microsoft Hololens 2 - Hands on (MWC 2019)

Die Hololens 2 ist Microsofts zweites AR-Headset. Im ersten Kurztest von Golem.de überzeugt das Gerät vor allem durch das merklich größere Sichtfeld.

Microsoft Hololens 2 - Hands on (MWC 2019) Video aufrufen
Überwachung: Wenn die Firma heimlich ihre Mitarbeiter ausspioniert
Überwachung
Wenn die Firma heimlich ihre Mitarbeiter ausspioniert

Videokameras, Wanzen, GPS-Tracker, Keylogger - es gibt viele Möglichkeiten, mit denen Firmen Mitarbeiter kontrollieren können. Nicht wenige tun das auch und werden dafür mitunter bestraft. Manchmal kommen sie aber selbst mit heimlichen Überwachungsaktionen durch. Es kommt auf die Gründe an.
Von Harald Büring

  1. Österreich Bundesheer soll mehr Daten bekommen
  2. Datenschutz Chinesische Kameraüberwachung hält Bus-Werbung für Fußgänger
  3. Überwachung Infosystem über Funkzellenabfragen in Berlin gestartet

Uploadfilter: Der Generalangriff auf das Web 2.0
Uploadfilter
Der Generalangriff auf das Web 2.0

Die EU-Urheberrechtsreform könnte Plattformen mit nutzergenerierten Inhalten stark behindern. Die Verfechter von Uploadfiltern zeigen dabei ein Verständnis des Netzes, das mit der Realität wenig zu tun hat. Statt Lizenzen könnte es einen anderen Ausweg geben.
Eine Analyse von Friedhelm Greis

  1. Europawahlen Facebook will mit dpa Falschnachrichten bekämpfen
  2. Urheberrecht Europas IT-Firmen und Bibliotheken gegen Uploadfilter
  3. Pauschallizenzen CDU will ihre eigenen Uploadfilter verhindern

Fido-Sticks im Test: Endlich schlechte Passwörter
Fido-Sticks im Test
Endlich schlechte Passwörter

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

  1. E-Mail-Marketing Datenbank mit 800 Millionen E-Mail-Adressen online
  2. Webauthn Standard für passwortloses Anmelden verabschiedet
  3. Studie Passwortmanager hinterlassen Passwörter im Arbeitsspeicher

    •  /