Abo
  • Services:

Weiteres WMF-Sicherheitsleck im Internet Explorer

Microsoft weist auf Windows-Sicherheitsloch hin

In früheren Versionen des Internet Explorer wurde ein weiteres Sicherheitsloch bei der Verarbeitung von WMF-Dateien gefunden, berichtet Microsoft. Angreifer könnten darüber eine umfassende Kontrolle über ein fremdes System erlangen. Außerdem soll Beispielcode für eine Sicherheitslücke in Windows existieren, über die sich lokale Angreifer erhöhte Rechte verschaffen können.

Artikel veröffentlicht am ,

Das nun bekannt gewordene Sicherheitsleck bei der Verarbeitung von WMF-Dateien betrifft nach Microsoft-Angaben nur den Internet Explorer der nicht mehr ganz taufrischen Version 5.01 sowie 5.5. Neuere Browser-Versionen sollen davon nicht betroffen sein. Das Sicherheitsloch bringt bei der Anzeige speziell formatierter WMF-Dateien den Programmspeicher durcheinander, so dass Angreifer darüber beliebigen Programmcode ausführen und so eine umfassende Kontrolle über einen fremden PC erlangen können.

Stellenmarkt
  1. Zentralinstitut für die kassenärztliche Versorgung, Berlin
  2. Interhyp Gruppe, München

Zudem weist Microsoft auf ein Windows-Sicherheitsloch hin, worüber lokale Anwender höhere Rechte erlangen können, wofür ein passender Beispiel-Code existiert. Das Sicherheitsloch soll in Windows XP mit Service Pack 1 sowie Windows Server 2003 stecken und führt dazu, dass lokale Anwender Programmcode von anderen Applikationen austauschen können. Beim Start einer derart manipulierten Programminstallation könnte somit beliebiger Code ausgeführt werden.

Der betreffende Fehler steckt in der Windows-Komponente ACLs (Access Control Lists), die dem Betriebssystem mitteilt, welche Rechte ein Nutzer auf bestimmte Bausteine hat. Auf Grund eines Programmfehlers lassen sich diese Kontrollinstanzen umgehen, um so beliebigen Programmcode einschleusen zu können. Auf Systemen mit Windows XP samt Service Pack 2 sowie Windows Server 2003 mit Service Pack 1 könnte der Fehler auch stecken, allerdings sorgen verbesserte Sicherheitsfunktionen dafür, dass er sich nicht bemerkbar macht.

Für beide hier genannten Sicherheitslücken stehen bislang keine Patches bereit. Ob diese am für die kommende Woche geplanten allmonatlichen Patch-Day zur Verfügung stehen werden, ist derzeit fraglich.



Anzeige
Top-Angebote
  1. (u. a. Fallout 4 GOTY für 26,99€ und Season Pass für 14,99€, Skyrim Special Edition für 17...
  2. (u. a. Logitech G910 + G402 für 99€ und ASUS Dual Radeon RX 580 OC + SanDisk SSD Plus 240 GB...
  3. (aktuell u. a. Corsair CX750 für 64,90€ + Versand)

Linux Möhli 09. Feb 2006

Mal wieder ein Bewis dafür das Microsoft es einfach nicht gebacken bekommt sichere...

kressevadder 08. Feb 2006

wetten das...


Folgen Sie uns
       


B-all One für Magic Leap - Gameplay

Ein Squash-Spiel zeigt, wie gut bei Magic Leap das Mapping der Umgebung und das Tracking unserer Position klappt.

B-all One für Magic Leap - Gameplay Video aufrufen
Raspi-Tastatur und -Maus im Test: Die Basteltastatur für Bastelrechner
Raspi-Tastatur und -Maus im Test
Die Basteltastatur für Bastelrechner

Für die Raspberry-Pi-Platinen gibt es eine offizielle Tastatur und Maus, passenderweise in Weiß und Rot. Im Test macht die Tastatur einen anständigen Eindruck, die Maus hingegen hat uns eher kaltgelassen. Das Keyboard ist zudem ein guter Ausgangspunkt für Bastelprojekte.
Ein Test von Tobias Költzsch

  1. Bastelcomputer Offizielle Maus und Tastatur für den Raspberry Pi
  2. Kodi mit Raspberry Pi Pimp your Stereoanlage
  3. Betriebssystem Windows 10 on ARM kann auf Raspberry Pi 3 installiert werden

Elektromobilität: Was hat ein Kanu mit Autos zu tun?
Elektromobilität
Was hat ein Kanu mit Autos zu tun?

Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
Ein Bericht von Dirk Kunde

  1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
  2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
  3. Ventomobil Mit dem Windrad auf Rekordjagd

Linux: Wer sind die Debian-Bewerber?
Linux
Wer sind die Debian-Bewerber?

Nach schleppendem Beginn stellen sich vier Kandidaten als Debian Project Leader zur Wahl. Zwei von ihnen kommen aus dem deutschsprachigen Raum und stellen Golem.de ihre Ziele vor.
Von Fabian A. Scherschel

  1. Betriebssystem Debian-Entwickler tritt wegen veralteter Werkzeuge zurück
  2. Linux Debian-Update verhindert Start auf ARM-Geräten
  3. Apt Bug in Debian-Paketmanager feuert Debatte über HTTPS an

    •  /