Abo
  • Services:

Angriffsmöglichkeit

Offenes Sicherheitsloch in der Windows-Hilfe

Im Hilfe- und Supportcenter von Windows ist eine Sicherheitslücke entdeckt worden, die sich über den Aufruf einer manipulierten Webseite ausnutzen lässt. Dann kann ein Angreifer den betreffenden Rechner übernehmen und beliebige Aktionen darauf durchführen.

Artikel veröffentlicht am ,
Angriffsmöglichkeit: Offenes Sicherheitsloch in der Windows-Hilfe

Das Sicherheitsloch wurde von Google-Entwickler Tavis Ormandy entdeckt, der den Fehler nach eigenen Angaben am 5. Juni 2010 an Microsoft gemeldet hat. Nach Meinung von Ormandy wurde der Fehler von Angreifern bereits untersucht und er geht davon aus, dass das Sicherheitsloch bald ausgenutzt wird. Daher habe er sich entschieden, damit an die Öffentlichkeit zu gehen.

Stellenmarkt
  1. Landratsamt Breisgau-Hochschwarzwald, Freiburg
  2. über experteer GmbH, Rhein-Main-Gebiet

Das Sicherheitsloch lässt sich ausnutzen, indem spezielle Befehle in eine URL integriert werden. Sobald ein Opfer diese URL öffnet, kann ein Fernwartungswerkzeug auf dem Rechner gestartet werden, um beliebige Aktionen durchzuführen. Der Fehler ist für Windows XP und Windows Server 2003 bestätigt. Wenn der Windows Media Player installiert ist, kann der Angriff über einen beliebigen Browser einschließlich Internet Explorer 8 durchgeführt werden. Ob der Fehler auch in neueren Windows-Versionen auftritt, steht noch nicht fest.

Wann und ob Microsoft einen Patch veröffentlichen wird, ist nicht bekannt. Ormandy hat einen Hotfix veröffentlicht, der das Nachladen von Hilfedokumenten deaktiviert. Dieser Weg ist aber nur praktikabel, wenn ansonsten keine Remote-Unterstützung benötigt wird.



Anzeige
Hardware-Angebote
  1. bei Caseking kaufen
  2. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  3. 116,75€ + Versand

Bruce Mangee 11. Jun 2010

Das steht so nicht im Full Disclosure. Du brauchst einen Dummen, der unbewusst selber...

Bruce Mangee 11. Jun 2010

Schnelllösung ist HKCR\HCP\shell\open per Policy zu deaktivieren. but .. never...

Bruce Mangee 11. Jun 2010

Ein Router/Packetfilter nutzt dir eigentlich wenig, wenn du derjenige bist, der die...

Lala Satalin... 10. Jun 2010

Gute getrollt.


Folgen Sie uns
       


Oculus Go - Test

Virtual Reality für 220 Euro? Oculus Go überzeugt im Test.

Oculus Go - Test Video aufrufen
Ryzen 5 2600X im Test: AMDs Desktop-Allrounder
Ryzen 5 2600X im Test
AMDs Desktop-Allrounder

Der Ryzen 5 2600X ist eine der besten sechskernigen CPUs am Markt. Für gut 200 Euro liefert er die gleiche Leistung wie der Core i5-8600K. Der AMD-Chip hat klare Vorteile bei Anwendungen, das Intel-Modell in Spielen.
Ein Test von Marc Sauter

  1. Golem.de-Livestream Wie gut ist AMDs Ryzen 2000?
  2. RAM-Overclocking getestet Auch Ryzen 2000 profitiert von schnellem Speicher
  3. Ryzen 2400GE/2200GE AMD veröffentlicht sparsame 35-Watt-APUs

Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator
Kryptographie
Der Debian-Bug im OpenSSL-Zufallszahlengenerator

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
Von Hanno Böck


    Indiegames-Rundschau: Kampfkrieger und Abenteuer in 1001 Nacht
    Indiegames-Rundschau
    Kampfkrieger und Abenteuer in 1001 Nacht

    Battletech schickt Spieler in toll inszenierte Strategieschlachten, eine königliche Fantasywelt und Abenteuer im Orient: Unsere Rundschau stellt diesmal besonders spannende Indiegames vor.
    Von Rainer Sigl

    1. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis
    2. Indiegames-Rundschau Zwischen Fake News und Mountainbiken
    3. Indiegames-Rundschau Tiefseemonster, Cyberpunks und ein Kelte

      •  /