Abo
  • Services:
Anzeige
Der verwundbare Code im HTTP.sys-Treiber
Der verwundbare Code im HTTP.sys-Treiber (Bild: Screenshot)

Microsoft IIS: Lücke in Windows-Webserver erlaubt Codeausführung

Der verwundbare Code im HTTP.sys-Treiber
Der verwundbare Code im HTTP.sys-Treiber (Bild: Screenshot)

Microsoft hat mit dem jüngsten Windows-Update eine schwerwiegende Sicherheitslücke in der HTTP-Verarbeitung behoben. Der entsprechende HTTP-Code läuft als Kerneltreiber.

Anzeige

Eine Sicherheitslücke in der Windows-Komponente HTTP.sys erlaubt Angreifern unter Umständen die Ausführung von bösartigem Code. Was die Lücke besonders schwerwiegend macht: HTTP.sys ist ein Kerneltreiber, damit erlaubt die Lücke die Ausführung von Code mit Systemrechten.

Erste Exploitcodes verfügbar

Bislang sind nur wenige Details zu der Sicherheitslücke bekannt. Laut dem Security Bulletin von Microsoft sind Windows 7, 8 und 8.1, sowie die Server-Versionen 2008 und 2012 betroffen. Die Lücke hat die Id CVE-2015-1635 erhalten.

Inzwischen sind erste Exploitcodes aufgetaucht, die allerdings nur auf das Vorhandensein der Lücke testen und nicht direkt die Ausführung von Code ermöglichen. Auch für Metasploit gibt es bereits ein Modul, welches auf das Vorhandensein der Lücke testet. Einige Nutzer berichteten, dass die Tests Server zum Absturz bringen können, daher sollten sie nur mit Vorsicht eingesetzt werden.

Fehlender Check des Range-Headers

Die Sicherheitslücke wird offenbar dadurch ausgelöst, wenn man einen HTTP-Range-Header mit besonders großen Werten an den Server schickt.

Nutzer von Windows-Servern sollten ihr System umgehend aktualisieren. Als Workaround kann laut Microsoft auch das Kernel-Caching des IIS-Webservers deaktiviert werden. Neben der kritischen Lücke in HTTP.sys hat Microsoft insgesamt zehn weitere Security Bulletins und dazugehörige Updates veröffentlicht.


eye home zur Startseite
the_wayne 24. Apr 2015

Ack! Aber leider gibt es immer wieder Leute, die sich für was besseres halten. Und...

TheUnichi 16. Apr 2015

Andere kriegen es auf die Reihe und sind zufrieden damit, also was willst du uns hier...

Lala Satalin... 16. Apr 2015

Was ein wildes herum geklicke.... Man konnte so gut wie nichts sehen. :D



Anzeige

Stellenmarkt
  1. SOFTSHIP AG, Hamburg
  2. Hughes Network Systems GmbH, Griesheim
  3. über Hays AG, Rhein-Main-Gebiet
  4. Robert Bosch GmbH, Leonberg


Anzeige
Top-Angebote
  1. (u. a. Warcraft Blu-ray 9,29€, Jack Reacher Blu-ray 6,29€, Forrest Gump 6,29€, Der Soldat...
  2. 24,49€
  3. 44,99€

Folgen Sie uns
       


  1. Gratis-Reparaturprogramm

    Apple repariert Grafikfehler älterer Macbook Pro nicht mehr

  2. Amazon Channels

    Prime Video erhält Pay-TV-Plattform mit Live-Fernsehen

  3. Bayerischer Rundfunk

    Fernsehsender wollen über 5G ausstrahlen

  4. Kupfer

    Nokia hält Terabit DSL für überflüssig

  5. Kryptowährung

    Bitcoin notiert auf neuem Rekordhoch

  6. Facebook

    Dokumente zum Umgang mit Sex- und Gewaltinhalten geleakt

  7. Arduino Cinque

    RISC-V-Prozessor und ESP32 auf einem Board vereint

  8. Schatten des Krieges angespielt

    Wir stürmen Festungen! Mit Orks! Und Drachen!

  9. Skills

    Amazon lässt Alexa natürlicher klingen

  10. Cray

    Rechenleistung von Supercomputern in der Cloud mieten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

  1. Re: macht Tesla nicht übermäßig viel Miese mit...

    Stefan99 | 07:14

  2. Re: Fake News?

    Flauu | 07:11

  3. Re: Mit DRM?

    MrReset | 07:04

  4. 3000 Mannjahre bei 50000 $/Jahr

    eMvO | 06:55

  5. Re: Frequenzvermüllung

    kazhar | 06:10


  1. 07:15

  2. 00:01

  3. 18:45

  4. 16:35

  5. 16:20

  6. 16:00

  7. 15:37

  8. 15:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel