Abo
  • Services:
Anzeige

Microsoft beseitigt schweres Sicherheitsleck vom Januar 2004

Sicherheits-Patch für die Windows-Shell endlich erschienen

Nach einer langen Wartezeit von knapp einem halben Jahr bietet Microsoft nun endlich einen Patch für eine schwere Sicherheitslücke vom Januar 2004 an, nachdem das Unternehmen in den vergangenen Monaten fünf Möglichkeiten zur Bereinigung des Fehlers hat verstreichen lassen. Ein Angreifer kann dem Internet Explorer mit Hilfe des Sicherheitslecks Dateien mit falschen Endungen unterschieben, die ein Opfer für ungefährlich hält und so gefährlichen Programmcode ausführt.

Das Sicherheitsloch steckt anders als zunächst angenommen in der Windows-Shell, die gefälschte CLASSIDs nicht abfängt. Da die Windows-Shell auch vom Internet Explorer verwendet wird, kann ein Angreifer dem Browser etwa über eine Webseite Dateien mit vorgeblich vertrauenswürdigen Endungen unterschieben. Als Angriffsszenario ließe sich etwa eine HTML-Datei so modifizieren, dass diese im Browser als PDF-Datei erscheint. Bei Ausführung der Datei werden dann aber die darin enthaltenen HTML-Kommandos ausgeführt.

Anzeige

Das verschafft einem Angreifer umfassende Kontrolle auf einem fremden System mit den Rechten des angemeldeten Nutzers. Verfügt das angemeldete Opfer über Administratorrechte, lassen sich etwa neue Konten anlegen, Programme starten oder Dateien löschen. Noch im Januar 2004 wurde angenommen, das Sicherheitsloch steckt nur im Internet Explorer und nicht auch in der Windows-Shell. Mit dem nun erschienenen Patch deaktiviert Microsoft die Möglichkeit, eine CLASSID als Dateityp innerhalb der Windows-Shell zu verwenden.

Unverständlich bleibt, warum Microsoft fünf Gelegenheiten und damit rund sechs Monate hat verstreichen lassen, den Fehler zu beheben. Denn nach der von Microsoft im Oktober 2003 ausgerufenen, neuen Sicherheitsstrategie will das Unternehmen eigentlich schwere Sicherheitslöcher zügig beheben und diese an einem monatlichen Patch-Day veröffentlichen, wovon es seither fünf gab. Erst am sechsten Patch-Day vom Juli 2004 nimmt sich Microsoft knapp sechs Monate nach Bekanntwerden des Sicherheitslochs der Sache an.

Da die Windows-Shell eine zentrale Komponente von Windows darstellt, betrifft das Sicherheitsloch Windows 98, 98SE, Millennium, NT 4.0, 2000 sowie XP einschließlich der entsprechenden Server-Versionen und Windows Server 2003. Allerdings bietet Microsoft aus unerfindlichen Gründen keinen Patch für Windows 98, 98SE und Millennium an, obgleich der Hersteller selbst das Risiko des Sicherheitslecks als hoch einstuft.

Zumindest für die übrigen Windows-Plattformen wird der Sicherheits-Patch für die Windows-Shell zum Download angeboten. Alternativ erhält man den Patch über die Windows-Update-Funktion.


eye home zur Startseite
Michael - alt 16. Jul 2004

Frank, ich stimme Dir zu, nicht für jeden Pipifax ein komplettes Szenario testen. Aber...

Autor 15. Jul 2004

Naja, wie man es nimmt. In der Unternehmens-Gruppe, die mir z.Z. mein Dach über meinem...

Frank 14. Jul 2004

Es geht nicht um das gesamt team sondern um den Kern (so wie ich "Kloß" verstanden habe...

Frank 14. Jul 2004

sorry aber es ist ja nicht so das man das gesamt system testen muss wenn eine Komponente...

Hauke 14. Jul 2004

Wo bleiben diese doofen trolle, die sagen windows sei sicherer??? PS: Schön Microsoft...



Anzeige

Stellenmarkt
  1. Chrono24 GmbH, Karlsruhe
  2. Computacenter AG & Co. oHG, verschiedene Standorte
  3. b.power GmbH, Stuttgart
  4. über Nash direct GmbH, Stuttgart


Anzeige
Spiele-Angebote
  1. (-10%) 53,99€
  2. 39,99€
  3. 17,99€

Folgen Sie uns
       


  1. Alexa und Co.

    Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern

  2. Apple TV

    Deutsche TV-App startet mit nur vier Anbietern

  3. King's Field 1 (1994)

    Die Saat für Dark Souls

  4. Anheuser Busch

    US-Brauerei bestellt 40 Tesla-Trucks vor

  5. Apple

    Jony Ive übernimmt wieder Apples Produktdesign

  6. Elon Musk

    Tesla will eigene KI-Chips bauen

  7. Die Woche im Video

    Lauscher auf!

  8. Entlassungen

    Kaufland beendet Online-Lieferservice für Lebensmittel

  9. DigiNetz-Gesetz

    Unitymedia überbaut keine Glasfaser in Fördergebieten

  10. Telekom

    Mobilfunk an neuer ICE-Strecke München-Berlin ausgebaut



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Berlin: Verfassungsschutz hat Lizenz zur Gesichtserkennung
Berlin
Verfassungsschutz hat Lizenz zur Gesichtserkennung
  1. Finnairs Gesichtsscanner ausprobiert Boarden mit einem Blick in die Kamera

Watch Series 3 im Praxistest: So hätte Apples erste Smartwatch sein müssen
Watch Series 3 im Praxistest
So hätte Apples erste Smartwatch sein müssen
  1. Apple Watch Apple veröffentlicht WatchOS 4.2
  2. Alivecor Kardiaband Uhrenarmband für Apple Watch zeichnet EKG auf
  3. Smartwatch Die Apple Watch lieber nicht nach dem Wetter fragen

Twitch, Youtube Gaming und Mixer: Weltweites Aufmerksamkeitsdefizit
Twitch, Youtube Gaming und Mixer
Weltweites Aufmerksamkeitsdefizit
  1. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  2. Roboter Megabots kündigt Video vom Roboterkampf an
  3. Free to Play World of Tanks bringt pro Nutzer und Monat 3,30 Dollar ein

  1. Re: Warum IoT pöse ist (Kritische Masse)

    Schläfer | 05:08

  2. Re: Netzabdeckung ist ein schlechter Witz

    Umaru | 03:51

  3. Re: nvidias letzte große teure gpu

    ustas04 | 02:52

  4. Kingdom Come Deliverance feine Sache

    balanceistische | 02:07

  5. Re: Vorbereitung für Völkermord

    Patman | 01:32


  1. 10:59

  2. 09:41

  3. 08:00

  4. 15:44

  5. 14:05

  6. 13:09

  7. 09:03

  8. 19:18


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel