Categories: SicherheitSoftware

Kritische Sicherheits-Bugs in fast allen Windows-Versionen

Microsoft (Börse Frankfurt: MSF) hat vier neue Sicherheitsberichte auf seinem „Security Bulletin“ veröffentlicht. Damit sind es bisher 57 in diesem Jahr. In den neusten Warnungen (54-57) hat der Softwarehersteller auf mehrere „kritische“ Sicherheitsfehler in fast allen Windows-Betriebssystemen, SQL-Server sowie Unix 3.0 hingewiesen und Patches bereitgestellt.

Die meisten Fehler in den Windows-Versionen 98, 98SE, Me, 2000, NT und XP betreffen die Hilfe-Funktion. Durch einen Programmfehler in einer ActiveX-Komponente und eine entsprechend präparierte HTML-Mail oder Site wäre es dem Hacker möglich, Kontrolle über das System des Users zu erlangen oder gefährlichen Code auf dem Rechner des Opfers auszuführen.

Außerdem bestehe eine Verwundbarkeit beim Umgang mit kompilierten HTML Help-Dateien (.chm), die Shortcuts enthalten. Da diese Abkürzungen es HTML Help-Dateien ermöglichen sämtliche Aktionen im System vornehmen zu können, sollten nur vertrauenswürdige HTML Help-Files ausgeführt werden können. Doch gäbe es zwei Fehler, mit denen sich diese Zertifizierung umgehen lasse. Microsoft hat einen passenden Patch zum Download bereitgestellt, der die Fehler beheben soll.

In einem weiteren Sicherheits-Hinweis spricht der Redmonder vor allem Benutzer von Windows 98 mit Plus! Pack, Windows Me- und Windows XP-Anwender an. Auch auf diesen Systemen könnte der Angreifer durch ein Leck im Pack-Feature („.zip“-gepackte Dateien) des OS beliebigen Code ausführen. So gibt es einen unkontrollierten Buffer in einem Programm, das das Dekomprimieren von Dateien steuert. So könnte ein Sicherheitsrisiko darin bestehen, ein File mit einem besonders krypisch gepackten Dateinamen zu entpacken. Der Windows Explorer könnte den Vorgang abbrechen und dem Hacker könnte es möglich sein durch einen so erzeugten Buffer-Overrun Code auf dem System auszuführen. Einen Patch, der das Problem beheben soll, hat Microsoft auf der Site bereitgestellt.

Außerdem hat der Hersteller noch einen kumulativen Patch für SQL-Server 7.0, Data Engine (MSDE) 1.0, SQL Server 2000 und Desktop Engine (MSDE) 2000 im Angebot. Das downloadbare Sammel-Patch soll vier „kritische“ Sicherheitslöcher stopfen, die einem Angreifer eine Systemübernahme ermöglichen könnten.

Im letzten Sicherheitsbericht richtet der Hersteller an Administratoren und Entwickler, die Applicationen oder Tools mit Sun Microsystems RPC Library Unix 3.0 Interix SDK entwickelt haben. Im schlimmsten Fall könnten Angreifer hier einen Fehler in der Software ausnutzen, um Denial of Service-Attacken zu starten oder beliebigen Code auf dem System mit Windows NT4, 2000 oder XP auszuführen. Microsoft stellt eine genaue Beschreibung des Problems sowie einen Patch auf seiner Site zur Verfügung.

Kontakt: Microsoft, Tel.: 089/31760 (günstigsten Tarif anzeigen)

ZDNet.de Redaktion

Recent Posts

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

15 Stunden ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

2 Tagen ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

2 Tagen ago

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

3 Tagen ago

HPE baut Supercomputer am Leibniz-Rechenzentrum

Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.

3 Tagen ago

Bund meldet Fortschritte in der Netzversorgung

Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…

3 Tagen ago