Patch Day: Microsoft schließt Windows-Lücke

Im Rahmen des monatlichen Patch Days hat der Softwarehersteller Microsoft eine Sicherheitslücke im Betriebssystem Windows adressiert. Betroffen sind die Version Windows 98, 98 Second Edition, Millenium Edition, 2000 SP3 und 2000 SP4. Neuere Versionen wie Windows XP und der Windows Server 2003 weisen die Lücke nicht auf. Die mit dem Security Bulletin MS05-024 versehene Schwachstelle ermöglicht Hackern die Ausführung von schädlichem Code.

Der Fehler befindet sich im Windows Explorer und kann durch manipulierte Dateien ausgenutzt werden. Microsoft selbst stuft die Gefährlichkeit der Lücke als „hoch“ ein. Ein Angreifer kann Programme installieren, Daten ansehen und manipulieren oder neue Nutzeraccounts mit Administratorrechten erstellen.

Im Gegensatz zu Microsoft stuft Symantec das Risiko durch die Lücke als „mittel“ ein, da einem erfolgreichen Exploit zahlreiche Aktivitäten des Anwenders vorausgehen müssten. Ein manipuliertes Dokument müsste beispielsweise vorher aus dem Netz geladen oder von einem E-Mail-Anhang abgespeichert werden.

Microsoft rät Nutzern von Windows 2000 SP3 und SP4 den Download der jetzt bereitgestellten Aktualisierung von der Homepage oder über Windows Update, für die Anwender der älteren betroffenen Betriebssysteme stellen die Redmonder keinen Patch bereit, da diese offiziell nicht mehr unterstützt werden. Ein Update gäbe es nur im Fall einer als „kritisch“ eingestuften Lücke.

Neben dem Patch hat Microsoft auch ein Update für den Windows Media Player veröffentlicht, das die Anzeige von Fenstern ohne die Erlaubnis des Nutzers unterbinden kann. Zudem wurde ein Update für das SMTP Tar Pit-Feature im Windows Server 2003 SP1 bereitgestellt, das die Effektivität von Angriffen durch Standard-Features des SMTP-Protokolls einschränken soll.