Abo
  • Services:

Microsoft schließt offenes Sicherheitsloch in Windows (Upd.)

Patch korrigiert sieben Windows-Fehler

Wie angekündigt, hat Microsoft eine Woche vor dem regulären Patch-Day im April 2007 ein Software-Update für Windows veröffentlicht. Der Sicherheits-Patch korrigiert unter anderem einen Fehler bei der Anzeige animierter Icon-Dateien, der von Angreifern bereits missbraucht wird. Der aktuelle Patch schließt insgesamt sieben Sicherheitslücken in Windows.

Artikel veröffentlicht am ,

In Windows werden animierte Cursordateien (.ani) nicht korrekt geprüft, so dass Angreifer darüber Programmcode einschleusen und ausführen können. Dazu muss ein Angreifer nur eine entsprechend präparierte Webseite oder HTML-E-Mail erstellen, die das Opfer dann mit der Rendering-Engine des Internet Explorer betrachtet.

Stellenmarkt
  1. M-net Telekommunikations GmbH, München
  2. McService GmbH, München

Der nun erschienene Patch schließt außerdem sechs weitere Sicherheitslücken in Windows. Allein drei Fehler stecken in den Funktionen rund um die GDI-Schnittstelle, worüber sich angemeldete Nutzer mehr Rechte verschaffen können. Zudem kann sich ein lokal angemeldeter Nutzer durch modifizierte TrueType-Schriftarten vollen Zugriff auf das betreffende System verschaffen.

Auch die Verarbeitung von WMF-Dateien ist fehlerhaft und ein Angreifer kann mit einem modifizierten WMF-Bild eine Denial-of-Service-Attacke ausführen, so dass der betreffende Rechner nicht mehr reagiert. Bei der Anzeige von EMF-Daten macht sich zudem ein Sicherheitsloch bemerkbar, das von einem Angreifer zum Ausführen von Schadcode missbraucht werden kann.

Der Patch für die Windows-Plattform steht ab sofort kostenlos zum Download bereit. Vor ein paar Tagen hat das IT-Sicherheitsunternehmen eEye bereits ein vorläufiges Update veröffentlicht, um zumindest das Problem mit den animierten Cursor-Dateien zu umschiffen. Ob am eigentlichen Patch-Day für den Monat April 2007 weitere Sicherheits-Updates von Microsoft erscheinen, ist derzeit nicht bekannt.

Microsoft soll bereits im Dezember 2006 auf den Fehler mit den animierten Cursor-Dateien hingewiesen worden sein. Somit hatte Redmond das Sicherheitsleck mehr als drei Monate lang nicht weiter beachtet. Vor ein paar Tagen wurde erstmals Schadcode im Internet gesichtet, der diese Sicherheitslücke aktiv ausnutzt. Daher sollte der Patch zügig eingespielt werden.

Nachtrag vom 4. April 2007 um 11:55 Uhr:
Auf Rechnern mit Realtek-Soundchip kann der aktuelle Patch das Windows-System durcheinander bringen und zu Fehlermeldungen beim Neustart führen. Auch der Aufruf des Elsterformulars 2006/2007 kann dadurch gestört sein. Mit einem weiteren Patch können diese Fehler korrigiert werden.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de

JoeIam 22. Apr 2007

ich hab einfach mal nach der "lulnchr.exe" auf der festplatte gesucht. Sie gehört zu dem...

Herb 05. Apr 2007

Klar, mach ich immer, wenn ich mich langweile lol!

flotzko 05. Apr 2007

Der Patch führt aktuell zu Problemen für alle Nutzer der elektronischen Steuererklärung...

Dirk P. 04. Apr 2007

Mag ja sein das die dich nerven aber spätenstens wenn du die nächsten Updates ziehen...


Folgen Sie uns
       


Padrone-Maus-Ring - Kampagnenvideo (Indiegogo)

Der Ring des Schweizer Startups Padrone soll die Maus überflüssig machen.

Padrone-Maus-Ring - Kampagnenvideo (Indiegogo) Video aufrufen
Eden ISS: Raumfahrt-Salat für Antarktis-Bewohner
Eden ISS
Raumfahrt-Salat für Antarktis-Bewohner

Wer in der Antarktis überwintert, träumt irgendwann von frischem Grün. Bei der Station Neumayer III hat das DLR vor einem Jahr ein Gewächshaus in einem Container aufgestellt, in dem ein Forscher Salat und Gemüse angebaut hat. Das Projekt war ein Test für künftige Raumfahrtmissionen. Der verlief erfolgreich, aber nicht reibungslos.
Ein Interview von Werner Pluta

  1. Eden ISS DLR will Gewächshaus-Container am Südpol aus Bremen steuern
  2. Eu-Cropis DLR züchtet Tomaten im Weltall
  3. NGT Cargo Der Güterzug der Zukunft fährt 400 km/h

Kaufberatung: Den richtigen echt kabellosen Bluetooth-Hörstöpsel finden
Kaufberatung
Den richtigen echt kabellosen Bluetooth-Hörstöpsel finden

Wer sie einmal benutzt hat, möchte sie nicht mehr missen: sogenannte True Wireless In-Ears. Wir erklären auf Basis unserer Tests, was beim Kauf von Bluetooth-Hörstöpseln beachtet werden sollte.
Von Ingo Pakalski

  1. Nuraphone im Test Kopfhörer mit eingebautem Hörtest und Spitzenklang
  2. Patent angemeldet Dyson soll Kopfhörer mit Luftreiniger planen

IT-Sicherheit: 12 Lehren aus dem Politiker-Hack
IT-Sicherheit
12 Lehren aus dem Politiker-Hack

Ein polizeibekanntes Skriptkiddie hat offenbar jahrelang unbemerkt Politiker und Prominente ausspähen können und deren Daten veröffentlicht. Welche Konsequenzen sollten für die Sicherheit von Daten aus dem Datenleak gezogen werden?
Eine Analyse von Friedhelm Greis

  1. Datenleak Ermittler nehmen Verdächtigen fest
  2. Datenleak Politiker fordern Pflicht für Zwei-Faktor-Authentifizierung
  3. Politiker-Hack Wohnung in Heilbronn durchsucht

    •  /