Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Microsoft patcht URI-Lücke

Fehler in Windows Shell erlaubt Codeausführung. Zum November-Patch-Day beseitigt Microsoft die so genannte URI-Lücke in Windows XP, die diverse Applikationen wie Firefox und Outlook betrifft und von deren Entwicklern zum Teil notdürftig geflickt wurde, doch der eigentliche Fehler steckt im Betriebssystem. URIs für bestimmte Protokolle wie "mailto:" lassen sich nutzen, um eine Applikation auf dem System des Nutzers zu öffnen, je nach angegebener Datei-Endung.
/ Jens Ihlenfeld
15 Kommentare News folgen (öffnet im neuen Fenster)

Microsoft selbst stuft den URI-Fehler als kritisch ein und adressiert ihn nach rund drei Monaten mit dem Patch MS07-061(öffnet im neuen Fenster). Statt dass mit präparierten URIs ungewollt andere Applikationen gestartet und ggf. missbraucht werden können, zeigt Windows nun nur noch eine Fehlermeldung an.

Microsoft selbst räumt ein, dass der Fehler eine Remote-Code-Ausführung erlaubt und durch die Art und Weise der Verarbeitung speziell gestalteter URIs, die der Windows Shell übergeben werden, verursacht wird. Wenn die Windows Shell diese URIs nicht ausreichend überprüft hat, könne ein Angreifer die Sicherheitslücke ausnutzen und beliebigen Code ausführen. Betroffen sind laut Microsoft nur Windows XP und Windows Server 2003, auf denen der Internet Explorer 7 ausgeführt wird. Der eigentliche Fehler steckt aber in der Windows-Datei Shell32.dll, die in allen unterstützten Editionen von Windows XP und Windows Server 2003 enthalten ist.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)
IT-ServiceDesk Mitarbeiterin (m/w/d) Helmholtz-Zentrum Hereon, Geesthacht (bei Hamburg) (öffnet im neuen Fenster)
Technical Security Officer (w/m/d) IT-Dienstleistungszentrum (ITDZ Berlin), Berlin,Homeoffice (öffnet im neuen Fenster)
AI & Process Automation Specialist (m/w/d) EJOT SE & Co. KG, Bad Berleburg (öffnet im neuen Fenster)
ERP-Prozessmanager (m/w/d) - Schwerpunkt Produktion Alzner Automotive GmbH, Grafenau (öffnet im neuen Fenster)
IT Team Manager Business Applications (m/w/d) Enrichment Technology Company Limited, Jülich (öffnet im neuen Fenster)
Duales Studium Wirtschaftsinformatik (Bachelor of Science) Bayerische Versorgungskammer, München (öffnet im neuen Fenster)
UX Designer - Design Systems (m/f/d) TOPdesk Deutschland GmbH, Kaiserslautern (öffnet im neuen Fenster)
IT-Servicetechniker (m/w/d) PHARMATECHNIK GmbH & Co. KG, Rostock (öffnet im neuen Fenster)

Mit dem Patch MS07-062(öffnet im neuen Fenster) beseitigt Microsoft zudem einen Fehler im Windows DNS Server, der Spoofing erlaubt. Betroffen ist hier der Windows Server 2003.

Darüber hinaus legt Microsoft einen älteren Patch (MS07-049(öffnet im neuen Fenster)), der Fehler im Virtual PC und Virtual Server beseitigt, neu auf.

Zur Startseite 15 Kommentare

Relevante Themen

Updates & PatchesTechnik/HardwarePC & NotebooksSoftwareBetriebssystemeSecuritySicherheitslückeDatensicherheit