computerwoche.de

Web

Microsoft beseitigt kritische Windows-Lecks

12.01.2005
Mit dem "Security Bulletin Summary" für Januar bringt Microsoft Bugfixes für zwei als "kritisch" bewerteten Sicherheitslücken und einen Fehler mit hohem Risikopotenzial.

MÜNCHEN (COMPUTERWOCHE) - Mit dem "Security Bulletin Summary" für Januar bringt Microsoft Bugfixes für zwei als "kritisch" bewerteten Sicherheitslücken und einen Fehler mit hohem Risikopotenzial.

Das Bulletin MS05-001 beschreibt ein kritisches Leck in der HTML-Hilfe von Windows, das durch fehlerhafte Active-X-Steuerelemente hervorgerufen wird. Dadurch ist es Angreifern möglich, von Remote-Standorten aus mit den Benutzerrechten des lokal angemeldeten Anwenders auf betroffene Systeme zuzugreifen und unter Umständen beliebigen Code einzuschleusen und auszuführen.

Die Lücke lässt sich ausnutzen, indem Anwender auf manipulierte Websites gelockt werden, zum Beispiel durch Links in HTML-Mails. Betroffen sind die Windows-Versionen 2000 (SP3 und SP4), XP (SP1, SP2 sowie 64-Bit-Editionen) und Server 2003 (auch 64-Bit-Edition). Ferner ist der Internet Explorer 6.0 (SP1) unter Windows NT Server 4.0 (SP 6a) und NT Server 4.0 Terminal Server Edition (SP6) fehlerhaft. Für die ebenfalls aufgelisteten Windows-Versionen 98, 98 SE und ME stehen keine Patches zur Verfügung.

Microsoft empfiehlt zudem Outlook-Nutzern (bis zur Version 2002) dringend, ein bereits seit April 2002 verfügbares Sicherheits-Uptate einzuspielen, sofern das noch nicht geschehen ist. Damit lassen sich unter anderem E-Mails in der Zone für eingeschränkte Seiten öffnen und das Angriffsrisiko verringern. Outlook-Express-Nutzer sind gehalten, den mit dem Bulletin MS04-018 veröffentlichten Patch zu installieren.

Einen kritischer Fehler in der Verarbeitung von Cursor- und Symbolformaten (Computerwoche.de berichtete) beseitigt das Bulletin MS05-002. Durch das Leck können Angreifer via manipulierte Symbole und animierte Cursor (Dateien mit der Extension ".ani") Schadroutinen von entfernten Standorten aus starten. Dazu leiten sie den Anwender auf eine manipulierte Web-Seite oder schicken eine entsprechende HTML-Mail. Betroffen sind die Windows-Versionen 2000 (SP3 und SP4), XP (SP1, SP2 sowie 64-Bit-Editionen) und Server 2003 (einschließlich 64-Bit-Edition). Auch im Zusammenhang mit dieser Sicherheitslücke verweist Microsoft auf den Outlook-Express-Patch des Bulletins MS04-018.

Ein Fehler mit hohem Risikopotenzial steckt im Indexdienst der Windows-Versionen 2000 (SP3 und SP4), XP (SP1 und 64-Bit-Editionen) und Server 2003 (einschließlich 64-Bit-Edition). Windows XP mit Service Pack 2, NT Server (auch Terminal Edition) sowie Windows 98, 98 SE und ME sind laut Microsoft nicht betroffen. Das Leck lässt sich ausnutzen, indem speziell präparierte Abfragen an den Indexdienst geschickt werden. Sie ermöglichen die Ausführung beliebigen Codes von entfernten Standorten aus auf betroffenen Systemen. Der mit dem Bulletin MS05-003 veröffentlichte Patch soll Abhilfe schaffen. (lex)