MÜNCHEN (COMPUTERWOCHE) - Microsoft bietet seit Freitag einen Patch an, der eine Sicherheitslücke in der Windows-Nachrichtenverarbeitung (Messaging System) im Zusammenhang mit der Nutzung des Hilfsprogramm-Managers beheben soll. Mit dem Tool lassen sich Eingabehilfen für Benutzer mit Behinderungen konfigurieren. Betroffen ist die Betriebssystemvariante Windows 2000.

Der Patch beseitige zwar das Problem im Hilfsprogramm-Manager, das Leck im Messaging System bleibe jedoch offen, warnte der unabhängige Sicherheitsexperte Oliver Lavery in einem von iDefense veröffentlichten Advisory. Auf das Problem habe der Sicherheitsexperte Chris Paget bereits im Herbst 2002 aufmerksam gemacht. Aufgetreten ist es im Zusammenhang mit einem Leck in der "WM_TIMER"-Funktion von Windows, für das Microsoft im April dieses Jahres einen Bugfix herausgebracht hat, nachdem der erstmals im Dezember veröffentlichte Patch fehlerhaft war (Computerwoche online berichtete).

Die Security-Spezialisten zählen die Sicherheitslücke zu den Fehlern, die sich durch so genannte "Shatter Attacks" ausnutzen lassen. Bei solchen Angriffen werden über den Message Service Anweisungen an Anwendungen geschickt. Die Applikationen können nicht zwischen manipulierten und Systembefehlen unterscheiden und führen den angegebenen Code aus. Auf diese Weise lässt sich zum Beispiel mit einfachen Benutzerrechten die Festplatte formatieren, auch wenn die Option vom Systemadministrator gesperrt wurde. (lex)