Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Microsoft schließt offenes Sicherheitsloch in Windows (Upd.)

Patch korrigiert sieben Windows-Fehler. Wie angekündigt , hat Microsoft eine Woche vor dem regulären Patch-Day im April 2007 ein Software-Update für Windows veröffentlicht. Der Sicherheits-Patch korrigiert unter anderem einen Fehler bei der Anzeige animierter Icon-Dateien, der von Angreifern bereits missbraucht wird. Der aktuelle Patch schließt insgesamt sieben Sicherheitslücken in Windows.
/ Ingo Pakalski
30 Kommentare News folgen (öffnet im neuen Fenster)

In Windows werden animierte Cursordateien (.ani) nicht korrekt geprüft, so dass Angreifer darüber Programmcode einschleusen und ausführen können. Dazu muss ein Angreifer nur eine entsprechend präparierte Webseite oder HTML-E-Mail erstellen, die das Opfer dann mit der Rendering-Engine des Internet Explorer betrachtet.

Der nun erschienene Patch schließt außerdem sechs weitere Sicherheitslücken in Windows. Allein drei Fehler stecken in den Funktionen rund um die GDI-Schnittstelle, worüber sich angemeldete Nutzer mehr Rechte verschaffen können. Zudem kann sich ein lokal angemeldeter Nutzer durch modifizierte TrueType-Schriftarten vollen Zugriff auf das betreffende System verschaffen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Auch die Verarbeitung von WMF-Dateien ist fehlerhaft und ein Angreifer kann mit einem modifizierten WMF-Bild eine Denial-of-Service-Attacke ausführen, so dass der betreffende Rechner nicht mehr reagiert. Bei der Anzeige von EMF-Daten macht sich zudem ein Sicherheitsloch bemerkbar, das von einem Angreifer zum Ausführen von Schadcode missbraucht werden kann.

Der Patch für die Windows-Plattform steht ab sofort kostenlos zum Download(öffnet im neuen Fenster) bereit. Vor ein paar Tagen hat das IT-Sicherheitsunternehmen eEye bereits ein vorläufiges Update(öffnet im neuen Fenster) veröffentlicht, um zumindest das Problem mit den animierten Cursor-Dateien zu umschiffen. Ob am eigentlichen Patch-Day für den Monat April 2007 weitere Sicherheits-Updates von Microsoft erscheinen, ist derzeit nicht bekannt.

Microsoft soll bereits im Dezember 2006 auf den Fehler mit den animierten Cursor-Dateien hingewiesen worden sein(öffnet im neuen Fenster) . Somit hatte Redmond das Sicherheitsleck mehr als drei Monate lang nicht weiter beachtet. Vor ein paar Tagen wurde erstmals Schadcode im Internet gesichtet, der diese Sicherheitslücke aktiv ausnutzt. Daher sollte der Patch zügig eingespielt werden.

Nachtrag vom 4. April 2007 um 11:55 Uhr:
Auf Rechnern mit Realtek-Soundchip kann der aktuelle Patch das Windows-System durcheinander bringen und zu Fehlermeldungen beim Neustart führen. Auch der Aufruf des Elsterformulars 2006/2007 kann dadurch gestört sein. Mit einem weiteren Patch(öffnet im neuen Fenster) können diese Fehler korrigiert werden.

Zur Startseite 30 Kommentare

Relevante Themen

SoftwareBetriebssystemeSecuritySicherheitslückeUpdates & PatchesDatensicherheitWindowsBrowser