MÜNCHEN (COMPUTERWOCHE) - Secunia warnt unter Berufung auf Nicolas Gregoire von Exaprobe vor drei Sicherheitslecks in Microsofts "Browser Client Context Tool" (W3Who.dll) aus den Resource Kits zu Windows 2000/XP, die insgesamt als "hoch kritisch" eingestuft werden. Genauer lassen sich darüber Cross-Site-Scripting-Attacken ausführen oder angegriffene Syteme übernehmen.

Input, der an die ISAPI-Erweiterung weitergereicht oder in http-Headern übergeben wird, reinigt die Software nicht hinreichend, wodurch beliebiger HTML- und Script-Code in der Browser-Session eines Nutzers zur Ausführung gebracht werden kann. Zudem lässt sich ein Boundary-Fehler bei der Verarbeitung von Parametern per Buffer Overflow missbrauchen.

Exaprobe empfiehlt, den Zugang zur W3Who.dll zu beschränken und die Datei nicht auf Produktionssystemen einzusetzen. Microsoft habe sich entschieden, das File nicht mehr länger zum Download anzubieten und plane auch kein fehlerbereinigtes Update. (tc)