• IT-Karriere:
  • Services:

Sicherheitswarnung

Windows-Fehler ermöglicht Ausführung beliebigen Codes

Microsoft warnt vor einem Sicherheitsleck in Windows, das Angreifer zur Codeausführung missbrauchen können. Bislang wird der Fehler wohl nicht aktiv ausgenutzt. Wann ein Patch erscheint, ist noch nicht bekannt.

Artikel veröffentlicht am ,
Windows-Logo
Windows-Logo

Das Sicherheitsloch in Windows XP, Vista sowie Windows Server 2003 und 2008 steckt in den Grafikanzeigeroutinen des Betriebssystems. Bei der Darstellung von Vorschaubildern tritt ein Fehler auf, über den ein Angreifer Schadcode auf fremde Systeme schleusen und ausführen kann. Das Opfer muss lediglich dazu verleitet werden, eine entsprechend präparierte Webseite, Word- oder Powerpoint-Datei zu öffnen.

Stellenmarkt
  1. Bundesamt für Soziale Sicherung, Bonn
  2. Information und Technik Nordrhein-Westfalen (IT.NRW), Hagen, Düsseldorf, Köln

Nach Microsofts Aussage wurden bislang keine Attacken verzeichnet, die den Fehler ausnutzen. Windows 7 und Windows Server 2008 R2 sollen von dem Problem nicht betroffen sein.

Unklar äußert sich Microsoft dazu, wann ein Patch zu erwarten ist, um den Fehler zu korrigieren. Gemäß dem Security Advisory erscheint ein Patch, sobald dieser fertiggestellt und ausreichend getestet ist. In Microsofts Blogposting zu der Sicherheitslücke heißt es hingegen, dass das Sicherheitsloch nicht ganz die Kriterien dafür erfülle, die ein außerplanmäßiger Patch erfordere.

Um sich vor Angriffen zu schützen, empfiehlt Microsoft nur, die Zugriffsrechte für shimgvw.dll zu verringern. Das führt allerdings dazu, dass die Funktion der Vorschaubilder generell nicht mehr verfügbar ist.

Der nächste reguläre Patchday ist für den 11. Januar 2011 vorgesehen. Falls die Arbeiten an dem Patch bis dahin nicht abgeschlossen werden und es kein außerplanmäßiges Sicherheitsupdate gibt, würde es mindestens bis Februar 2011 dauern, bis der Fehler korrigiert wird. Kurz vor Weihnachten 2010 gab es bereits eine Sicherheitswarnung von Microsoft zum Internet Explorer. Wann der passende Patch erscheint, ist auch in diesem Fall bislang nicht bekannt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (Bis zu 40 Prozent auf ausgewählte Notebooks, Monitore, PCs, Smartphones, Zubehör und mehr)
  2. 2.095€ neuer Bestpreis auf Geizhals
  3. ab 799€ auf Geizhals
  4. 499,99€ (Release 10.11.)

Anonymer Nutzer 07. Jan 2011

"Bitte verwenden Sie bis zur Fertigstellung des Patches ein anderes Betriebssystem. Wir...

Pfff 05. Jan 2011

Nee, ich möchte lieber ein OS wo sowas nicht vorkommt - oder zumindest umgehend gefixt...

bammel 05. Jan 2011

Solche Leute == jemand der eine Website öffnet? (Siehe den Post vor dir) N bisschen...

lalalabernich 05. Jan 2011

fundierte meinung eines profis halt... grüße vom planeten waseinstuss.


Folgen Sie uns
       


IT-Freelancer: Der kürzeste Pfad zum nächsten Projekt
IT-Freelancer
Der kürzeste Pfad zum nächsten Projekt

Die Nachfrage nach IT-Freelancern ist groß - die Konkurrenz aber auch. Der nächste Auftrag kommt meist aus dem eigenen Netzwerk oder von Vermittlern. Doch wie findet man den passenden Mix?
Ein Bericht von Manuel Heckel

  1. Selbstständiger Sysadmin "Jetzt fehlen nur noch die Aufträge"

Todesfall: Citrix-Sicherheitslücke ermöglichte Angriff auf Krankenhaus
Todesfall
Citrix-Sicherheitslücke ermöglichte Angriff auf Krankenhaus

Ein Ransomware-Angriff auf die Uniklinik Düsseldorf, der zu einem Todesfall führte, erfolgte über die "Shitrix" genannte Lücke in Citrix-Geräten

  1. Datenleck Citrix informiert Betroffene über einen Hack vor einem Jahr
  2. Shitrix Das Citrix-Desaster
  3. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

MX 10.0 im Test: Cherrys kompakte, flache, tolle RGB-Tastatur
MX 10.0 im Test
Cherrys kompakte, flache, tolle RGB-Tastatur

Die Cherry MX 10.0 kommt mit besonders flachen MX-Schaltern, ist hervorragend verarbeitet und umfangreich programmierbar. Warum Nutzer in Deutschland noch auf sie warten müssen, ist nach unserem Test unverständlich.
Ein Test von Tobias Költzsch

  1. Argand Partners Cherry wird verkauft

    •  /