Abo
  • Services:
Anzeige
Der verwundbare Code im HTTP.sys-Treiber
Der verwundbare Code im HTTP.sys-Treiber (Bild: Screenshot)

Microsoft IIS: Lücke in Windows-Webserver erlaubt Codeausführung

Der verwundbare Code im HTTP.sys-Treiber
Der verwundbare Code im HTTP.sys-Treiber (Bild: Screenshot)

Microsoft hat mit dem jüngsten Windows-Update eine schwerwiegende Sicherheitslücke in der HTTP-Verarbeitung behoben. Der entsprechende HTTP-Code läuft als Kerneltreiber.

Anzeige

Eine Sicherheitslücke in der Windows-Komponente HTTP.sys erlaubt Angreifern unter Umständen die Ausführung von bösartigem Code. Was die Lücke besonders schwerwiegend macht: HTTP.sys ist ein Kerneltreiber, damit erlaubt die Lücke die Ausführung von Code mit Systemrechten.

Erste Exploitcodes verfügbar

Bislang sind nur wenige Details zu der Sicherheitslücke bekannt. Laut dem Security Bulletin von Microsoft sind Windows 7, 8 und 8.1, sowie die Server-Versionen 2008 und 2012 betroffen. Die Lücke hat die Id CVE-2015-1635 erhalten.

Inzwischen sind erste Exploitcodes aufgetaucht, die allerdings nur auf das Vorhandensein der Lücke testen und nicht direkt die Ausführung von Code ermöglichen. Auch für Metasploit gibt es bereits ein Modul, welches auf das Vorhandensein der Lücke testet. Einige Nutzer berichteten, dass die Tests Server zum Absturz bringen können, daher sollten sie nur mit Vorsicht eingesetzt werden.

Fehlender Check des Range-Headers

Die Sicherheitslücke wird offenbar dadurch ausgelöst, wenn man einen HTTP-Range-Header mit besonders großen Werten an den Server schickt.

Nutzer von Windows-Servern sollten ihr System umgehend aktualisieren. Als Workaround kann laut Microsoft auch das Kernel-Caching des IIS-Webservers deaktiviert werden. Neben der kritischen Lücke in HTTP.sys hat Microsoft insgesamt zehn weitere Security Bulletins und dazugehörige Updates veröffentlicht.

eye home zur Startseite
Kommentarübersicht
Re: m( - Wieso packt man sowas auch in den Kernel?
the_wayne 24. Apr 2015

Ack! Aber leider gibt es immer wieder Leute, die sich für was besseres halten. Und...

Re: Welche Vollpfosten nutzen IIS?
TheUnichi 16. Apr 2015

Andere kriegen es auf die Reihe und sind zufrieden damit, also was willst du uns hier...

Re: N Video
Lala Satalin... 16. Apr 2015

Was ein wildes herum geklicke.... Man konnte so gut wie nichts sehen. :D

Anzeige
Stellenmarkt
  1. Fresenius Netcare GmbH, Bad Homburg
  2. Daimler AG, Stuttgart
  3. SSC-Services GmbH, Böblingen bei Stuttgart
  4. Vodafone GmbH, Düsseldorf
Anzeige
Spiele-Angebote
  1. ab 59,00€ (Vorbesteller-Preisgarantie)
  2. 1,49€
  3. 1,49€
Folgen Sie uns
       
Videos
IBM Deep Learning - Rekorderklärung IBM Deep Learning - Rekorderklärung
Ticker
  1. Windows 10

    Microsoft will auf Zwangsupdates verzichten

  2. Brio 4K Streaming Edition

    Logitech-Kamera für Lets-Player und andere Streamer

  3. Vor Bundestagswahl

    Facebook löscht Zehntausende Spammer-Konten

  4. Bilderkennung von Google

    Erste Hinweise auf Lens in der Google-App

  5. Open Source

    Node.js-Führung zerstreitet sich über Code-of-Conduct

  6. Enigma ICO

    Kryptowährungshacker erbeuten halbe Million US-Dollar

  7. SNES Classic Mini

    Mario, Link und Samus machen den Moonwalk

  8. Bixby

    Samsungs Sprachassistent kommt auf Englisch nach Deutschland

  9. Apache-Lizenz 2.0

    OpenSSL-Lizenzwechsel führt zu Code-Entfernungen

  10. Knights Mill

    Intels Xeon Phi hat 72 Kerne und etwas Netburst

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Sysadmin Day
Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte
Mobilfunk
Ausweis: Prepaid-Registrierung bislang nicht konsequent umgesetzt
Ausweis
Prepaid-Registrierung bislang nicht konsequent umgesetzt
  1. 10 GBit/s Erste 5G-Endgeräte sind noch einen Kubikmeter groß
  2. Verbraucherzentrale Datenlimits bei EU-Roaming wären vermeidbar
  3. Internet Anbieter umgehen Wegfall der EU-Roaming-Gebühren
Bastelrechner
Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho
Forumsbeiträge »
  1. EMotion Fisker-Elektroauto soll in 9 Minuten Strom für 200 km laden

    Und mein Gummibandantrieb hat 800 Km Reichweite

    floewe | 22:22

  2. Redstone 3 Microsoft entfernt Refs-Formatierung von Windows 10 Pro

    Re: Legal?

    nille02 | 22:21

  3. Open Source Node.js-Führung zerstreitet sich über Code-of-Conduct

    Programming, Motherfucker Do you speak it?

    Xstream | 22:17

  4. Playerunknown's Battlegrounds Bluehole über Camper, das Wetter und die schussfeste Pfanne

    Re: PUBG für Playstation 4 - ja/nein?

    Cl4wn | 22:12

  5. HP Omen-X-Laptop ist ein 4K-Klotz mit übertakteter GTX 1080

    Re: Kein Markt dafür

    honna1612 | 22:10

Ticker »
  1. Windows 10 Microsoft will auf Zwangsupdates verzichten

    18:04

  2. Brio 4K Streaming Edition Logitech-Kamera für Lets-Player und andere Streamer

    17:49

  3. Vor Bundestagswahl Facebook löscht Zehntausende Spammer-Konten

    16:30

  4. Bilderkennung von Google Erste Hinweise auf Lens in der Google-App

    16:01

  5. Open Source Node.js-Führung zerstreitet sich über Code-of-Conduct

    15:54

  6. Enigma ICO Kryptowährungshacker erbeuten halbe Million US-Dollar

    14:54

  7. SNES Classic Mini Mario, Link und Samus machen den Moonwalk

    14:42

  8. Bixby Samsungs Sprachassistent kommt auf Englisch nach Deutschland

    14:32

  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  / 
    Zum Artikel