Code nutzt Sicherheitsloch in ActiveX-Control aus

Sicherheitsleck in Windows-Komponente. In dem ActiveX-Control XMLHTTP steckt ein Sicherheitsloch, das zur Ausführung von Programmcode missbraucht werden kann und bereits durch einen aktiven Angriff verwendet wird. Der Fehler betrifft zahlreiche Windows-Plattformen und kann von Angreifern etwa durch die Bereitstellung einer präparierten Webseite ausgenutzt werden. Noch gibt es keinen Patch zur Abhilfe.

6. November 2006 um 09:27 Uhr / Ingo Pakalski

18 Kommentare News folgen (öffnet im neuen Fenster)

Der Fehler steckt in der Windows-Komponente XML Core Services 4.0 und betrifft damit Windows 2000, XP sowie Windows Server 2003. Auch mit installiertem Internet Explorer 7 verschwindet der Fehler nicht. Angreifer müssen ein Opfer nur dazu bringen, eine entsprechend präparierte Webseite mit dem Internet Explorer zu öffnen, um das Sicherheitsloch ausnutzen zu können. Neben einer Denial-of-Service-Attacke lässt sich darüber auch beliebiger Programmcode ausführen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

ERP Business Consultant – MS Dynamics 365 (m/w/d) LR Global Holding GmbH, Ahlen (öffnet im neuen Fenster)

SAP Application Manager (w/m/d) - Master Data Governance Hensoldt, Ulm (öffnet im neuen Fenster)

KI/ML Spezialist*in (m/w/d) mit Erfahrung im Applikationsbetrieb und Beratungsexpertise (unbefristet, bis zu TVL-13) Universität Stuttgart, Stuttgart (öffnet im neuen Fenster)

Mitarbeiter (m/w/d) für den Aufbau der Anwenderbetreuung Digital Waste Shipment System (DIWASS) GOES mbH, Neumünster (öffnet im neuen Fenster)

R&D Engineer (m/f/d) MED-EL Medical Electronics, Innsbruck (öffnet im neuen Fenster)

Abschlussarbeit: Künstliche Intelligenz im Gesundheitswesen (Pflege, Medizin oder Management) Krankenhaus für Naturheilweisen, München (öffnet im neuen Fenster)

IT-Expert:in Linux (m/w/d) Universität Hohenheim, Stuttgart (öffnet im neuen Fenster)

Inhouse Software Engineer - Stibo STEP (PIM) (m/w/d) Schwarz IT, Heilbronn (öffnet im neuen Fenster)

Einen Patch gegen das Sicherheitsloch bietet Microsoft derzeit nicht an. Bei deaktiviertem ActiveX macht sich das Sicherheitsleck nicht mehr bemerkbar. Zur Abhilfe kann außerdem ein alternativer Browser verwendet werden.

Zur Startseite 18 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Sicherheits-Patches für Windows und Office

Viele Sicherheitslücken erlauben Ausführung beliebigen Programmcodes. Am Patch-Day für den Monat Oktober 2006 schließt Microsoft insgesamt neun Sicherheitslücken in Windows und 16 Sicherheitslecks in Microsofts Office-Paket. Viele der geschlossenen Sicherheitslücken werden als gefährlich eingestuft, weil Angreifer darüber beliebigen Programmcode einschleusen können. Zudem wird ein Fehler im .NET Framework 2.0 korrigiert.

Internet Explorer: Schadcode nutzt Sicherheitsloch aus

Angreifer kann beliebigen Programmcode ausführen. Im Internet Explorer 6 wurde eine neue Sicherheitslücke gefunden, für die bereits Schadcode im Internet aufgetaucht ist. Angreifer können über das Sicherheitsleck beliebigen Programmcode ausführen, um sich eine umfassende Kontrolle über einen fremden Rechner zu verschaffen. Einen Patch gibt es derzeit nicht, aber der Internet Explorer 7 soll den Fehler nicht mehr aufweisen.

Relevante Themen