Kritische Lücke in Windows Vista geschlossen

Microsoft hat an seinem monatlichen Patch-Day fünf Security-Updates veröffentlicht, mit denen insgesamt acht Fehler berichtigt werden – darunter auch eine Schwachstelle in Windows Vista. Drei der vier bereitgestellten Windows-Patches behandeln „kritische“ Probleme, ein weiterer Fix besitzt die Einstufung „hoch“. Die Stufe „kritisch“ vergibt das Unternehmen an Lücken, die einen Computer mit wenig oder ohne Mithilfe des Anwenders komplett kontrollierbar machen.

Unter den gepatchten Sicherheitslücken ist ein Zero-Day-Exploit, der bereits im Dezember 2006 entdeckt wurde. Sicherheitsexperten hatten den Fehler jedoch anfänglich als nicht gravierend eingeschätzt. Man war der Ansicht, dass er nur von jemand ausgenutzt werden könne, der Zugang zu dem betroffenen Rechner hätte.

Der „kritische“ Fehler steckt in einer wichtigen Windows-Komponente, dem Client-Server-Runtime-Subsystem, und betrifft alle Windows-Versionen, heißt es im Security Bulletin MS07-021. „Wenn ein Benutzer eine speziell gestaltete Website aufruft, kann ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, vollständige Kontrolle über das betroffene System erlangen.“ MS07-021 ist der einzige Patch, der Windows Vista betrifft.

Alle anderen Windows-Updates sind für den Vorgänger Windows XP gedacht. Darin enthalten ist eine kritische Lücke im Hilfe-Tool Microsoft Agent. Laut Security Bulletin MS07-020 behandelt der Agent bestimmte Weblinks fehlerhaft. Diese Lücke könne von einer böswilligen Website ausgenutzt werden.

Microsofts Security Bulletin MS07-019 zufolge hat Windows XP zusätzlich einen kritischen Fehler in seiner Plug-and-Play-Funktion. Angreifer können nach Einschätzung der Microsoft-Experten diese Lücke ausnutzen, ohne dass der betroffene Anwender irgendetwas tut. Allerdings müsse der Angreifer im selben Subnetz sein wie der attackierte Rechner. Die Angriffe könnten durch eine Firewall abgewendet werden.

Eine weiterer Sicherheitsbericht schildert zwei Lücken in Microsofts Content Management Server. Laut Security Bulletin MS07-018 kann ein Angreifer über einen Exploit die Kontrolle über eine Website erlangen, die von dieser Software verwaltet wird.

ZDNet.de Redaktion

Recent Posts

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

7 Minuten ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

9 Stunden ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

23 Stunden ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

23 Stunden ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

2 Tagen ago

Chrome 131 schließt zwölf Sicherheitslücken

Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…

2 Tagen ago