[z]
Sicherheitslücke im HTML-Konverter von Windows
Alle Windows-Versionen von Windows 98 bis Windows Server 2003 sind von einer Sicherheitslücke betroffen, die laut Microsoft dazu genutzt werden kann, beliebigen Code auszuführen. Im Security-Bulletin MS03-023 beschreibt der Konzern das Leck im HTML-Konverter von Windows, das zu einem
Buffer Overflow führen kann.
Der Konverter ist dafür zuständig, dass Anwender HTML-Dateien anzeigen oder importieren sowie Dokumente als HTML abspeichern können. Die Software enthält nun einen Fehler bei der Behandlung einer Konvertierungsanforderung, die durch Cut & Paste ausgelöst wird. Dazu muss eine speziell formatierte Anforderung in dem zu konvertierenden Dokument enthalten sein.
Da der Internet Explorer den HTML-Konverter ebenfalls nutzt, kann ein Angreifer ein solches Dokument dem Anwender entweder über eine E-Mail oder eine Webseite unterjubeln, um dann Code im Sicherheitskontext des Users ausführen zu lassen.
Microsoft stuft die Sicherheitslücke als
kritisch ein und empfiehlt,
so schnell wie möglich den entsprechenden Patch zu installieren. Für sämtliche betroffenen Windows-Versionen stellt der Konzern über das Security-Bulletin Patches bereit. Für Windows NT ist dabei Service Pack 6a und für Windows 2000 Service Pack 3 oder 4 Voraussetzung.
Zwei weitere neu entdeckte Sicherheitslecks sind nach Ansicht von Microsoft weniger kritisch: Im Sicherheits-Bulletin MS03-024 beschreibt der Konzern ein Leck, das durch einen Fehler bei der Parameter-Überprüfung für SMB-Pakete zu einem Buffer Overflow führen kann. Zwar kann der Fehler ebenfalls im schlimmsten Fall zum Ausführen beliebigen Codes genutzt werden, aber der Angreifer muss vom Server in einem Windows-Netzwerk mit einem gültigen Account akzeptiert werden. Ein weiteres Sicherheitsloch (beschrieben in MS03-025) tritt im so genannten Utility Manager auf, mit dem sich die Windows-Funktionen für Behinderte kontrollieren lassen. Ein Fehler in der Behandlung von Windows-Messages führt dazu, dass ein Anwender die Privilegien seines Accounts erhöhen kann. Dazu muss der User allerdings direkt an der lokalen Konsole oder über den Terminal-Manager angemeldet sein. Für beide als "important" eingestuften Probleme stellt Microsoft über die Security-Bulletins ebenfalls Patches bereit.[/z]
http://heise.de/newsticker/data/jk-10.07.03-000/
Tut was für Eure Sicherheit!
Mirko
Donnerstag, 24. Mai 2012, 00:29
Zum Seitenanfang
