Web

 

Microsoft warnt vor weiteren Lecks in Windows XP und im IE

06.02.2003

MÜNCHEN (COMPUTERWOCHE) - Microsoft hat weitere Sicherheitslücken im Internet Explorer und in Windows XP bekannt gegeben. Der Browser weist zwei Fehler auf. Zum einen funktioniert die Sicherheitsabfrage beim so genannten Cross Domain Checking nicht, so dass sich Informationen über Domänengrenzen hinweg austauschen lassen. Hacker nutzen das Leck über manipulierte Web-Seiten, über die sie per Script zum Beispiel Passwörter und Login-Informationen abgreifen können. Ein weiterer Mangel steckt in der "showHelp()"-Funktion, die zur Anzeige der HTML-basierenden Hilfe des Browsers dient. Auch hier werden die Sicherheitseinstellungen nicht korrekt ausgeführt. In der Folge können Angreifer Schadroutinen einschleusen und ausführen. Betroffen sind die Browser-Versionen 5.01, 5.5 und 6.0. Beide Fehler soll ein Sammel-Patch beseitigen. Nach dessen Einspielen ist die

Hilfe-Funktion des Internet Explorers deaktiviert. Microsoft empfiehlt deshalb, via Windows-Update die aktuelle Version der HTML-Hilfe zu installieren.

In Windows XP sorgt der "Redirector" für Angriffsmöglichkeiten. Die Funktion wird benötigt, um in einem Netzwerk auf freigegebene Ordner und Dateien zugreifen zu können. Angreifer können ungeprüfte Speicherbereiche ausnutzen, um betroffene Systeme zum Absturz zu bringen. Im Extremfall kann auch schadhafter Code eingeschleust werden. Entsprechende Angriffe können allerdings nicht remote gestartet werden, weswegen Microsoft die Lücke nicht als "critical" einstuft. Vielmehr müssen von korrekt am System angemeldeten Nutzern Anwendungen gestartet werden, die den Redirector nutzen. Laut Microsoft genügt es, über den "NET-USE"-Befehl auf manipulierte Daten zuzugreifen, die im Netz liegen können. Bugfixes für die 32-Bit- und die 64-Bit-Version von Windows XP sollen Abhilfe schaffen. Obwohl die Netzzugriffe unter Windows NT und Windows 2000 nach dem gleichen Prinzip funktionieren, sind diese Systeme nicht betroffen, verspricht Microsoft. (lex)