Patch-Day nimmt Windows-Lücken und Office-Löcher ins Visier

Zahlreiche Sicherheitslücken im Windows XP Service Pack 2

Wie bereits angekündigt, knöpft sich Microsoft am Patch-Day des Monats Februar 2005 gleich mehrere Windows-Sicherheitslücken vor. Eine Reihe davon werden zu Recht als gefährlich eingestuft, weil sich darüber beliebiger Programmcode auf fremde Systeme schleusen und häufig unbemerkt vom Opfer ausführen lässt. Dadurch kann sich ein Angreifer im schlimmsten Fall eine umfassende Kontrolle über ein fremdes System verschaffen. Nahezu alle in Windows XP gefundenen Sicherheitslücken stecken ebenfalls im Service Pack 2.

Artikel veröffentlicht am ,

Unter anderem beseitigt Microsoft ein schweres Sicherheitsleck im Internet Explorer, worüber ein Angreifer mit Hilfe einer HTML-E-Mail oder einer Webseite beliebigen Scriptcode auf einem fremden System ausführen kann. Das Sicherheitsleck steckt in dem ActiveX-Control "DHTML Editing Component", das Funktionen zur HTML-Bearbeitung bereitstellt. Das Sicherheitsloch betrifft Windows 2000, XP sowie Server 2003; entsprechende Patches bietet das dazugehörige Security Bulletin.

Über ein gleichfalls schweres Sicherheitsloch in der Windows-Komponente "Hyperlink Object Library" lässt sich beliebiger Programmcode ausführen, wozu ein Angreifer seine Opfer lediglich zum Öffnen eines präparierten Links bringen muss. Ein ungeprüfter Puffer ist für dieses Sicherheitsloch verantwortlich. Patches für Windows 2000, XP sowie Server 2003 findet man im passenden Security Bulletin.

Ein weiterer Patch soll eine OLE- und eine COM-Sicherheitslücke in Windows und etlichen Office-Applikationen beheben. Das OLE-Sicherheitsloch kann ein Angreifer missbrauchen, indem er etwa einen präparierten Dateianhang per E-Mail versendet und sein Opfer dazu bringt, diesen zu öffnen. Das verschafft dem Angreifer eine umfassende Kontrolle über ein fremdes System, da er beliebigen Programmcode ausführen kann. Auf Systemen mit dem Exchange Server ist eine Nutzeraktivität gar nicht erst erforderlich, wenn ein Angreifer eine präparierte Nachricht an das System übermittelt. Die COM-Sicherheitslücke lässt sich hingegen nur lokal ausführen, so dass ein Angriff aus der Ferne nicht möglich ist. Gelingt dies einem Angreifer, kann er sich erhöhte Zugriffsrechte verschaffen. Für die beiden OLE- und COM-Sicherheitslücken hat Microsoft einen Patch bereitgestellt, der über das betreffende Security Bulletin für Windows 2000, XP, Windows Server 2003, den Exchange Server 5.5, 2000 sowie 2003 und für Office XP sowie 2003 verfügbar ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Patch-Day nimmt Windows-Lücken und Office-Löcher ins Visier 
  1. 1
  2. 2
  3. 3
  4.  


mcfritt 10. Feb 2005

Oh Mann, würdest du die sehr guten Microsoft Produkte benutzen, müsstest du nie...

Star 09. Feb 2005

Hallo, ich habe aufgrund der Skripte die von der C't angeboten wurden einen Downloader...

smilingrasta 09. Feb 2005

"Dadurch kann sich ein Angreifer im schlimmsten Fall eine umfassende Kontrolle über ein...



Aktuell auf der Startseite von Golem.de
40 Jahre
M.U.L.E. ist das beste Computerbrettspiel der Welt!

Ressourcen sammeln, Handel betreiben: M.U.L.E. war eine Revolution! Golem.de prüft, ob der Spieleklassiker 40 Jahren später noch Spaß macht.
Von Andreas Altenheimer

40 Jahre: M.U.L.E. ist das beste Computerbrettspiel der Welt!
Artikel
  1. GPT Store: Gute Chatbots, schlechte Chatbots
    GPT Store
    Gute Chatbots, schlechte Chatbots

    Der GPT-Marktplatz bietet kurz nach seinem Start reichlich selbst erstellte GPTs. Die Orientierung fällt schwer, es gibt aber einige schöne Überraschungen.
    Von Mathias Küfner

  2. OpenAI: Girlfriend-Chatbots verstoßen gegen die Regeln des GPT-Store
    OpenAI
    Girlfriend-Chatbots verstoßen gegen die Regeln des GPT-Store

    Nur einen Tag, nachdem OpenAI ChatGPT für Entwickler geöffnet hat, lassen sich Angebote finden, die es nicht geben dürfte.

  3. OpenAI: ChatGPT-Nutzung durch Militär nicht mehr ausgeschlossen
    OpenAI
    ChatGPT-Nutzung durch Militär nicht mehr ausgeschlossen

    Bisher hatte OpenAI die Verwendung seiner Sprachmodelle für "Militär und Kriegsführung" explizit untersagt. Das ist nun nicht mehr der Fall.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MindStar: Lexar NM790 4 TB 209€, be quiet! Dark Rock 4 55€, XFX Speedster QICK RX 7800 XT Core 499€ • Alternate: Thermaltake Toughliquid 240/360 ARGB 64,90€/82,90€ • DAMN! Deals: CPUs, Mainboards, RAM u. Grafikkarten zu Bestpreisen, z. B. PowerColor Hellhound RX 7900 XT 789€ [Werbung]
    •  /