Abo
  • Services:

Microsoft patcht unter anderem WordPad und HyperTerminal

Zahlreiche Fehler erlauben Angreifern, fremden Code auszuführen

Microsoft hatte in einem vorgezogenen Patch-Day schon Anfang Dezember 2004 bereits eine kritische Sicherheitslücke im Internet Explorer geschlossen. Nun folgen zum geplanten Patch-Day-Termin fünf weitere Patches. Dabei werden Sicherheitslücken in WordPad, dem DHCP-Server unter NT 4.0, HyperTerminal sowie dem Windows-Kernel und dem lokalen Sicherheitsdienst LSASS beseitigt.

Artikel veröffentlicht am ,

Sicherheitslücken in WordPad gewähren Angreifern die Möglichkeit, fremden Code auszuführen und so Programme zu installieren, Daten anzusehen, zu verändern oder zu löschen sowie neue Benutzer-Accounts anzulegen. Allerdings setzt dies voraus, dass ein betroffener Nutzer mit Administrator-Rechten arbeitet. Schuld ist ein Fehler bei der Tabellen- und Schriftenkonvertierung von Word for Windows 6.0, beide lassen sich aber nicht ohne Zutun des Nutzers ausnutzen. Unter Windows XP mit Service Pack 2 und Windows Server 2003 sind die entsprechenden Komponenten standardmäßig deaktviert. Allen anderen empfiehlt Microsoft, den Patch bei nächster Gelegenheit einzuspielen.

Stellenmarkt
  1. B&O Service und Messtechnik AG, München
  2. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg

Ein weiterer Patch adressiert zwei Sicherheitslücken in Microsofts DHCP-Server unter Windows NT 4.0. Eine davon erlaubt Angreifern möglicherweise eine Code-Ausführung, die andere öffnet das System für Denial-of-Service-Angriffe.

Ein Puffer-Überlauf in HyperTerminal macht das System ebenfalls anfällig, auch hier können Angreifer fremden Code ausführen. Dazu bedarf es einer entspechend präparierten HyperTerminal-Datei, die von einem User mit geöffnet werden muss. Besitzt der Nutzer Administratoren-Rechte, kann der Angreifer die Kontrolle über das System erlangen.

Gleiches gilt für einen Fehler im Windows-Kernel und im Local Security Authority Subsystem Service (LSASS), allerdings benötigt ein Angreifer hierzu direkten Zugriff, also einen Benutzer-Account auf dem entsprechenden System. Mit dem Windows XP Service Pack 2 kann die Sicherheistlücke im Windows-Kernel wahrscheinlich nur für eine Denial-of-Service-Attacke genutzt werden, dies gilt nicht für den LSASS-Fehler.

Ein fünfter Patch schließt zwei Sicherheitslücken im WINS-Server.



Anzeige
Top-Angebote
  1. (u. a. MSI GS63 7RD-223 Stealth 1099€, MSI GE73 8RF-221DE Raider RGB 1999€)
  2. 74,99€
  3. 151,79€
  4. (u. a. The James Bond Collection 2016 Blu-ray 69,97€, Unlocked Blu-ray 4,97€)

honk 16. Dez 2004

durch eingabe von format C: koennte ihr rechner formatiert werden

Der Kenner 16. Dez 2004

Das stimmt, aber du meinst sicher die Addition von zwei Produkten :-) Faktor mal Faktor...

brusch 15. Dez 2004

Wenn schon Download, dann DreamCalc.

Fabian 15. Dez 2004

Gelle. Manche Sachen sind schon merkwürdig. Und problematisch wirds, wenn es einem nie...

Fabian 15. Dez 2004

Ja und genau das ist der Punkt. Ich verzeifele wenn ich aus irgend nem Grund (z.b. bei...


Folgen Sie uns
       


AMD Athlon 200GE - Test

Der Athlon 200GE ist ein 55 Euro günstiger Chip für den Sockel AM4. Er konkurriert daher mit Intels Celeron G4900 und Pentium G5400. Dank zwei Kernen mit SMT und 3,2 GHz sowie einer Vega-3-Grafikeinheit schlägt er beide Prozessoren in CPU-Benchmarks und ist schneller in Spielen, wenn diese auf der iGPU laufen.

AMD Athlon 200GE - Test Video aufrufen
NGT Cargo: Der Güterzug der Zukunft fährt 400 km/h
NGT Cargo
Der Güterzug der Zukunft fährt 400 km/h

Güterzüge sind lange, laute Gebilde, die langsam durch die Lande zuckeln. Das soll sich ändern: Das DLR hat ein Konzept für einen automatisiert fahrenden Hochgeschwindigkeitsgüterzug entwickelt, der schneller ist als der schnellste ICE.
Ein Bericht von Werner Pluta


    E-Mail-Verschlüsselung: 90 Prozent des Enigmail-Codes sind von mir
    E-Mail-Verschlüsselung
    "90 Prozent des Enigmail-Codes sind von mir"

    Der Entwickler des beliebten OpenPGP-Addons für Thunderbird, Patrick Brunschwig, hätte nichts gegen Unterstützung durch bezahlte Vollzeitentwickler. So könnte Enigmail vielleicht endlich fester Bestandteil von Thunderbird werden.
    Ein Interview von Jan Weisensee

    1. SigSpoof Signaturen fälschen mit GnuPG
    2. Librem 5 Purism-Smartphone bekommt Smartcard für Verschlüsselung

    Job-Porträt Cyber-Detektiv: Ich musste als Ermittler über 1.000 Onanie-Videos schauen
    Job-Porträt Cyber-Detektiv
    "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"

    Online-Detektive müssen permanent löschen, wo unvorsichtige Internetnutzer einen digitalen Flächenbrand gelegt haben. Mathias Kindt-Hopffer hat Golem.de von seinem Berufsalltag erzählt.
    Von Maja Hoock

    1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
    2. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp
    3. IT-Jobs "Jedes Unternehmen kann es besser machen"

      •  /