Microsoft stopft schwere Sicherheitslücke - früher als erwartet

8. Februar 2006, 12:22
34 Postings

"Kritischer" WMF-Fehler behoben - alle Windows-Versionen betroffen

Microsoft hat ein Programm zum Schließen einer Sicherheitslücke im Betriebssystem Windows (Der WebStandard berichtete)einige Tage früher als vorgesehen veröffentlicht. Eigentlich sollte der so genannte Patch erst am kommenden Dienstag zum Herunterladen ins Internet gestellt werden, zwischenzeitlich wurde auch eine unfertige Version des Patches "durch Versehen" veröffentlicht. Die Programmierer hätten ihre Entwicklungsarbeiten jedoch schneller als erwartet abschließen können, so das Unternehmen. Daher sei das Programm ab sofort auf der Microsoft-Website verfügbar.

Schwachstelle

Das Unternehmen betonte, dass die neue Schwachstelle scheinbar nur in begrenztem Maße ausgenutzt worden sei. Durch die Sicherheitslücke sind Computer anfällig für Angriffe von außen, wenn ihre Nutzer auf Internet-Seiten mit schädlichen Inhalten surfen oder bestimmte E-Mail-Anhänge öffnen.

Windows Meta File

Über das Windows Meta File (WMF) Dateiformat ist es AngreiferInnen durch die Sicherheitslücke möglich, Software auf einem Rechner zu installieren, allein das Ansurfen einer infizierten Webseite mit dem Internet Explorer (Firefox oder Opera erwarten eine Bestätigung vor der Anzeige) oder das Betrachten eines präparierten Bildes (bzw. aufgrund der Vorschaufunktion das Durchforsten eines Verzeichnisses in dem ein entsprechendes Bild liegt) reichen aus um sich mit Schädlingen zu infizieren.

Gefahr

Obwohl im Netz bereits Tools, die die automatische Generierung von manipulierten Dateien ermöglichen, aufgetaucht sind, ließ sich Microsoft trotz heftiger Kritk bisher Zeit. In einem Security Advisory des Konzerns vorgeschlagene Workarounds boten keinen hundertprozentigen Schutz.

Bisher stand bereits ein inoffizieller Patch des IT-Spezialisten Ilfak Guilfanov zur Verfügung, das Internet Storm Center riet zu dessen Installation.

Windows

Microsofts Patch steht für Windows Server 2003 Service Pack 1, Windows Server 2003 für Itanium-Systeme und Windows Server 2003 x64, für Windows 2000 Service Pack 4, Microsoft Windows XP Service Pack 1 und 2 und XP Professional x64 Edition bereit. Für Windows 98 (SE, ME und NT 4 sind keine Patches vorhanden. (APA/Reuters/red)

  • Microsoft stopft - noch vor dem offiziellen "Patchday" - die WMF-Sicherheitslücke.
    bild. hersteller

    Microsoft stopft - noch vor dem offiziellen "Patchday" - die WMF-Sicherheitslücke.

Share if you care.