In zwei Security Bulletins berichtet Microsoft über weitere Sicherheitslücken innerhalb von Windows. Während das eine Sicherheitsleck bei der Anzeige einer Webseite oder HTML-Mail auftritt und somit den Internet Explorer betrifft, benötigt man zum Ausnutzen des anderen Sicherheitslochs einen lokalen Zugang zum betreffenden Rechner. Microsoft selbst stuft beide Sicherheitslecks als gefährlich ein. mehr
Alle Windows-Versionen enthalten Routinen zur Konvertierung von Dateien. Innerhalb dieser Routinen für eine HTML-Konvertierung steckt ein Programmfehler, so dass ein Angreifer über eine entsprechend formatierte Webseite oder HTML-Mail in die Lage versetzt wird, Programmcode mit den Rechten des angemeldeten Nutzers ausführen zu können. Der Angriff via E-Mail betrifft alle Mail-Clients, die für die Anzeige von HTML-Nachrichten auf die Rendering Engine des Internet Explorer zurückgreifen. Das Sicherheitsleck steckt in den Windows-Versionen 98, 98SE, Millennium, 2000, XP, NT 4.0 Server sowie in der Server Terminal Edition und Windows Server 2003. Das zweite Sicherheitsloch tritt nur beim Einsatz von Windows 2000 auf. Und zwar befindet sich ein Sicherheitsleck in den im Betriebssystem integrierten Eingabehilfen. Diese interpretieren Windows-Messages falsch, was ein Angreifer dazu missbrauchen kann, über speziell formatierten Programmcode beliebige Aktionen auf dem System auszuführen und so die Kontrolle über den PC zu erlangen. Dazu muss der Angreifer jedoch lokalen Zugriff zum betreffenden PC besitzen und sich entsprechend angemeldet haben. Quelle: Golem Patch für HTML Konvertierung
Patch für Windows 2000 Eingabehilfen
Patch für Windows 2000 Eingabehilfen