Sicherheits-Patch für Web-Ansicht vom Windows Explorer

Dateivorschau verhilft Angreifern zu umfassender Kontrolle. Am Patch-Day des Monats Mai 2005 beseitigt Microsoft eine vor rund einem Monat bekannt gewordene Sicherheitslücke in Windows 2000. Das in der Web-Ansicht vom Windows Explorer steckende Sicherheitsloch gestattet einem Angreifer die Ausführung von Script-Code, wenn eine präparierte Datei lediglich in der Vorschau angezeigt wird.

11. Mai 2005 um 09:53 Uhr / Ingo Pakalski

Kommentare Auf Google folgen (öffnet im neuen Fenster)

Bestimmte HTML-Zeichen in der Web-Ansicht des Dateimanagers von Windows 2000 werden falsch verarbeitet, was ein Angreifer dazu missbrauchen kann, JavaScript-Code auf lokaler Ebene auszuführen. Dazu müsste ein Opfer lediglich eine entsprechend präparierte Datei in der Vorschau anzeigen. Das Öffnen einer Datei ist nicht erforderlich. Ist das Opfer mit Administratorrechten angemeldet, verschafft sich ein Angreifer so eine umfassende Kontrolle über ein fremdes System.

Das Sicherheitsloch in Windows Explorer betrifft Systeme mit Windows 2000 und es stehen passende Patches für Windows 2000 mit Service Pack 3 oder 4 zum Download(öffnet im neuen Fenster) bereit. Obgleich das Sicherheitsleck auch in Windows 98 und in der Millennium Edition steckt, bietet Microsoft dafür keinen Patch an, weil der Support-Zeitraum dafür abgelaufen ist.

Zur Startseite Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Sicherheitslücke in Web-Ansicht vom Windows Explorer

Vorerst kein Patch von Microsoft verfügbar. Auf Systemen mit Windows 2000 wurde von dem Sicherheitsunternehmen GreyMagic eine Sicherheitslücke im Windows Explorer gefunden, worüber Angreifer beliebigen Script-Code ausführen können. Grund dafür ist ein Fehler in der Web-Ansicht des Explorers, wo Informationen zu Dateien angezeigt werden.

Microsoft behebt elf Sicherheitslöcher in Windows

Allein vier Sicherheitslecks im Windows-Kernel. Am Patch-Day des Monats April 2005 hat sich Microsoft unter anderem um eine Reihe von Sicherheitslücken in diversen Windows-Versionen gekümmert und will mit entsprechenden Patches gleich elf unterschiedliche Sicherheitslücken beseitigen. Einige der Sicherheitslöcher werden von Microsoft als kritisch eingestuft, so dass eine schnelle Einspielung der Patches empfohlen wird.

Schwere Sicherheitslücken in mehreren Microsoft-Produkten

Sicherheitslecks gestatten Angreifern unerlaubte Ausführung von Programmcode. Mit einem Schlag informiert Microsoft über mehrere Sicherheitslecks, welche in verschiedenen Produkten aus Redmond stecken. So sind neben Windows 2000, XP auch Word, Excel sowie die FrontPage Server Extensions betroffen. Ohne eingespielte Patches können Angreifer Programmcode auf einem fremden System ausführen. Alle Sicherheitslecks werden von Microsoft als kritisch eingestuft.

Relevante Themen