Microsoft patcht fünf weitere Windows-Sicherheitslücken

Vier Patches für verschiedene Windows-Komponenten erschienen

Für vier verschiedene Windows-Komponenten veröffentlichte Microsoft entsprechende Patches, um insgesamt fünf zum Teil schwere Sicherheitslücken im Betriebssystem zu beheben. Während sich zwei Sicherheitslecks nur lokal von angemeldeten Nutzern verwenden lassen, können drei andere Sicherheitslücken von Angreifern über den Internet Explorer ausgenutzt werden. Alle Sicherheitslücken gewähren einem Angreifer eine umfassende Kontrolle über ein System.

Artikel veröffentlicht am ,

In der HTML-Hilfefunktion von Windows beseitigt Microsoft mit einem Patch zwei Sicherheitslücken, die beide als kritisch eingestuft werden und worüber Angreifer Programmcode von einem anderen System ausführen können. Eines der beiden Sicherheitslecks ist bereits seit Dezember 2003 bekannt und wird nun endlich mit einem Patch bereinigt. Das mehr als sechs Monate alte Sicherheitsloch wertet CHM-Dateien im HTML-Hilfeprotokoll nicht korrekt aus, was sich ein Angreifer über eine manipulierte showHelp-URL zu Nutze machen kann, die etwa nur in eine Webseite integriert sein und von einem Opfer angeklickt werden muss.

Stellenmarkt
  1. Business Intelligence (BI) Berater (m/w/d)
    Iodata GmbH, Karlsruhe
  2. Specialist eCommerce Quality Assurance & Projects (m/w/d)
    SSI Schäfer Shop GmbH, Betzdorf
Detailsuche

Das zweite Sicherheitsleck in der HTML-Hilfefunktion tritt bei der unvollständigen Auswertung von Eingabedaten auf und kann ebenfalls über die Integration auf eine Webseite von einem Angreifer ausgenutzt werden. Wie bereits beim Sicherheitsloch für die Windows-Shell bietet Microsoft auch in diesem Fall keinen Patch für Windows 98, 98SE und Millennium an, obgleich zumindest eines der beiden Sicherheitslöcher auch darin zu finden ist und vom Hersteller selbst als kritisch eingestuft wird. Für die übrigen betroffenen Windows-Versionen 2000, XP sowie Server 2003 stehen entsprechende Patches zum Download bereit.

Eine weitere Sicherheitslücke in Windows 2000 und XP betrifft den Task-Planer, worüber ein Angreifer über einen Buffer Overrun beliebigen Programmcode per Internet Explorer ausführen kann und sich so eine umfassende Kontrolle verschafft, sofern der angemeldete Nutzer über Administratorrechte verfügt. Wird darüber ein Nutzer mit eingeschränkten Rechten angegriffen, verringert sich die Gefahr des Sicherheitslecks entsprechend. Microsoft stellt einen Patch für den Task-Planer für Windows 2000 und XP kostenlos zum Download bereit.

Zudem steckt ein Sicherheitsloch im Hilfsprogramm-Manager von Windows 2000, worüber ein angemeldeter Nutzer Programme mit höheren Rechten ausführen kann und so eine umfassende Kontrolle über ein System erlangt, um beliebige Aktionen auszuführen. Zur Ausnutzung des Sicherheitslochs muss man sich auf einem System lokal anmelden. Mit einem Patch für Windows 2000 mit dem Service Pack 2 wird dieses Sicherheitsleck beseitigt.

Ein vierter Sicherheits-Patch betrifft Windows NT 4.0 sowie 2000 und steckt in der Betriebssystemkomponente POSIX. Zur Ausnutzung des Sicherheitslochs muss man sich ebenfalls lokal an einem System anmelden, kann dann aber einen Buffer Overrun in POSIX ausnutzen, um sich höhere Systemrechte zu geben. Dies erlaubt einem Angreifer dann eine umfassende Kontrolle über das System. Den Posix-Patch für Windows NT 4.0 sowie 2000 bietet Microsoft kostenlos zum Download an.

Alle hier genannten Sicherheits-Patches für die verschiedenen Windows-Versionen können alternativ über die Update-Funktion des Betriebssystems installiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Windows-Dialoge
Überreste von Windows 3.1 in Windows 11 entdeckt

Windows-Dialoge aus der Zeit von Windows 3.1 sind auch in Windows 11 noch zu sehen.

Windows-Dialoge: Überreste von Windows 3.1 in Windows 11 entdeckt
Artikel
  1. PCR-Testzentren: Persönliche Daten per Google Docs veröffentlicht
    PCR-Testzentren
    Persönliche Daten per Google Docs veröffentlicht

    Die Termine von Tausenden Personen wurden von zwei PCR-Testzentren in Bayern per Google Docs geteilt.

  2. Streaming: Disney+ füllt seine Star-Wars-Lücken auf
    Streaming
    Disney+ füllt seine Star-Wars-Lücken auf

    Fast alles von Star Wars kann man bei Disney+ streamen. Ein paar Kleinigkeiten haben aber noch gefehlt. Am 18. Juni gibt es Nachschub an neuem Alten.
    Von Peter Osteried

  3. Taotronics und Vava: Amazon verbannt noch mehr Marken wegen Fake-Bewertungen
    Taotronics und Vava
    Amazon verbannt noch mehr Marken wegen Fake-Bewertungen

    Nicht nur Ravpower, auch Taotronics und Vava wurden von Amazon aus dem Angebot gestrichen. Der Onlinehändler geht stärker gegen Fake-Bewertungen vor.

Autor 15. Jul 2004

Ja gibt es Windows Server 2003 64 Bit Edition

Otto d.O. 14. Jul 2004

ja, das kann durchaus zutreffen. Eventuell ist eine Mailserver-Kiste auch noch so...

Otto d.O. 14. Jul 2004

Naja, bei Windows legen die Nachwuchsprogrammierer erst mal mit Visual Basic los und wenn...

Michael - alt 14. Jul 2004

Lach, noch einer von der Fraktion der Physiker? Na schön, Kollege, wenn Dus nicht anders...

Michael - alt 14. Jul 2004

Lach, habe ich etwas Microsoft bei dem Begriff Firmen ausgeschlossen oder willst Du das...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport: bis zu 70% Rabatt (u. a. WD Black SN750 1TB 109,90€) • GP Anniversary Sale - Teil 4: Indie & Arcade • Weekend Deals (u. a. Seagate ext. HDD 4TB 89,90€) • 10% auf Gaming-Produkte bei Ebay (u. a. AMD Ryzen 7 5800X 350,91€) [Werbung]
    •  /