Microsoft hat vor einer Sicherheitslücke in der Windows-Hilfe gewarnt, die mittels VBScript über den Internet Explorer unter Windows XP ausgenutzt werden kann. Nutzer von Windows 7, Vista, Server 2008 und Server 2008 R2 sind nicht betroffen. Die Schwachstelle ermöglicht das Einschleusen und Ausführen beliebigen Schadcodes.
Ein Angreifer muss dafür sein Opfer auf eine manipulierte Website locken und beispielsweise mithilfe eines Pop-up-Fensters dazu bringen, mit der F1-Taste die Windows-Hilfe aufzurufen. Microsoft-Sprecher Jerry Bryant erklärte, dass bisher kein Exploit für die Codeanfälligkeit im Umlauf sei.
Die Schwachstelle wurde am Freitag, zusammen mit einem Proof-of-Concept, von iSEC Security Research veröffentlicht. Einem Advisory der Sicherheitsforscher zufolge ist der Fehler seit Februar 2007 bekannt. Microsoft kritisiert in einem Blogeintrag, dass iSEC die Lücke nicht vorab vertraulich gemeldet hat.
„Nach Abschluss unserer Untersuchungen werden wir alle nötigen Schritte einleiten, um unsere Kunden zu schützen“, schreibt Bryant im Blog des Microsoft Security Response Center. Er nennt aber keinen Zeitplan für die Veröffentlichung eines Updates. Der nächste reguläre Patchday ist der 9. März.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…