Abo
  • Services:

Microsoft schließt offenes Sicherheitsloch in Windows (Upd.)

Patch korrigiert sieben Windows-Fehler

Wie angekündigt, hat Microsoft eine Woche vor dem regulären Patch-Day im April 2007 ein Software-Update für Windows veröffentlicht. Der Sicherheits-Patch korrigiert unter anderem einen Fehler bei der Anzeige animierter Icon-Dateien, der von Angreifern bereits missbraucht wird. Der aktuelle Patch schließt insgesamt sieben Sicherheitslücken in Windows.

Artikel veröffentlicht am ,

In Windows werden animierte Cursordateien (.ani) nicht korrekt geprüft, so dass Angreifer darüber Programmcode einschleusen und ausführen können. Dazu muss ein Angreifer nur eine entsprechend präparierte Webseite oder HTML-E-Mail erstellen, die das Opfer dann mit der Rendering-Engine des Internet Explorer betrachtet.

Stellenmarkt
  1. 10X Innovation GmbH & Co. KG, Berlin
  2. init SE, Karlsruhe

Der nun erschienene Patch schließt außerdem sechs weitere Sicherheitslücken in Windows. Allein drei Fehler stecken in den Funktionen rund um die GDI-Schnittstelle, worüber sich angemeldete Nutzer mehr Rechte verschaffen können. Zudem kann sich ein lokal angemeldeter Nutzer durch modifizierte TrueType-Schriftarten vollen Zugriff auf das betreffende System verschaffen.

Auch die Verarbeitung von WMF-Dateien ist fehlerhaft und ein Angreifer kann mit einem modifizierten WMF-Bild eine Denial-of-Service-Attacke ausführen, so dass der betreffende Rechner nicht mehr reagiert. Bei der Anzeige von EMF-Daten macht sich zudem ein Sicherheitsloch bemerkbar, das von einem Angreifer zum Ausführen von Schadcode missbraucht werden kann.

Der Patch für die Windows-Plattform steht ab sofort kostenlos zum Download bereit. Vor ein paar Tagen hat das IT-Sicherheitsunternehmen eEye bereits ein vorläufiges Update veröffentlicht, um zumindest das Problem mit den animierten Cursor-Dateien zu umschiffen. Ob am eigentlichen Patch-Day für den Monat April 2007 weitere Sicherheits-Updates von Microsoft erscheinen, ist derzeit nicht bekannt.

Microsoft soll bereits im Dezember 2006 auf den Fehler mit den animierten Cursor-Dateien hingewiesen worden sein. Somit hatte Redmond das Sicherheitsleck mehr als drei Monate lang nicht weiter beachtet. Vor ein paar Tagen wurde erstmals Schadcode im Internet gesichtet, der diese Sicherheitslücke aktiv ausnutzt. Daher sollte der Patch zügig eingespielt werden.

Nachtrag vom 4. April 2007 um 11:55 Uhr:
Auf Rechnern mit Realtek-Soundchip kann der aktuelle Patch das Windows-System durcheinander bringen und zu Fehlermeldungen beim Neustart führen. Auch der Aufruf des Elsterformulars 2006/2007 kann dadurch gestört sein. Mit einem weiteren Patch können diese Fehler korrigiert werden.



Anzeige
Top-Angebote
  1. (u. a. UE65NU7409 für 849€ statt 1.039,98€ im Vergleich)
  2. 39,98€ (Vergleichspreis ca. 72€)
  3. ab 519€ bei Alternate lieferbar
  4. (heute Samsung HT-J4500 5.1-Heimkino-System für 149€ statt 168,94€ im Vergleich)

JoeIam 22. Apr 2007

ich hab einfach mal nach der "lulnchr.exe" auf der festplatte gesucht. Sie gehört zu dem...

Herb 05. Apr 2007

Klar, mach ich immer, wenn ich mich langweile lol!

flotzko 05. Apr 2007

Der Patch führt aktuell zu Problemen für alle Nutzer der elektronischen Steuererklärung...

Dirk P. 04. Apr 2007

Mag ja sein das die dich nerven aber spätenstens wenn du die nächsten Updates ziehen...


Folgen Sie uns
       


Logitechs MX Vertical und Ankers vertikale Maus im Vergleichstest

Die MX Vertical ist Logitechs erste vertikale Maus. Sie hat sechs Tasten und kann wahlweise über Blueooth, eine Logitech-eigene Drahtlostechnik oder Kabel verwendet werden. Die spezielle Bauform soll Schmerzen in der Hand, dem Handgelenk und den Armen verhindern. Wem es vor allem darum geht, eine vertikale Sechstastenmaus nutzen zu können, kann sich das deutlich günstigere Modell von Anker anschauen, das eine vergleichbare Bauform hat. Logitech verlangt für die MX Vertical 110 Euro, das Anker-Modell gibt es für um die 20 Euro.

Logitechs MX Vertical und Ankers vertikale Maus im Vergleichstest Video aufrufen
Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Neuer Kindle Paperwhite im Hands On: Amazons wasserdichter E-Book-Reader mit planem Display
Neuer Kindle Paperwhite im Hands On
Amazons wasserdichter E-Book-Reader mit planem Display

Amazon bringt einen neuen Kindle Paperwhite auf den Markt und verbessert viel. Der E-Book-Reader steckt in einem wasserdichten Gehäuse, hat eine plane Displayseite, mehr Speicher und wir können damit Audible-Hörbücher hören. Noch nie gab es so viel Kindle-Leistung für so wenig Geld.
Ein Hands on von Ingo Pakalski


    Apple Watch im Test: Auch ohne EKG die beste Smartwatch
    Apple Watch im Test
    Auch ohne EKG die beste Smartwatch

    Apples vierte Watch verändert das Display-Design leicht - zum Wohle des Nutzers. Die Uhr bietet immer noch mit die beste Smartwatch-Erfahrung, auch wenn eine der neuen Funktionen in Deutschland noch nicht funktioniert.
    Ein Test von Tobias Költzsch

    1. Skydio R1 Apple Watch zur Drohnensteuerung verwendet
    2. Smartwatch Apple Watch Series 4 mit EKG und Sturzerkennung
    3. Smartwatch Apple Watch Series 4 nur mit sechs Modellen

      •  /