Gefährliches Sicherheitsloch in Windows 2000 und XP
Schadcode kann über den Aufruf einer Webseite ausgeführt werden
In Windows 2000 und XP ist ein gefährliches Sicherheitsloch gefunden worden, über das sich beliebiger Programmcode auf fremden Systemen ausführen lässt. Dafür ist allerdings eine Aktion des Opfers erforderlich. Bislang gibt es von Microsoft noch keinen Patch, um den Fehler zu beseitigen.
Das Sicherheitsleck tritt in Kombination mit VBScript im Internet Explorer und der Windows-Hilfefunktion auf. Für einen Angriff wird eine speziell gestaltete Webseite ins Internet gestellt, die den Nutzer auffordert, mittels der Taste F1 die Windows-Hilfe aufzurufen. Folgt der Nutzer dieser Aufforderung, kann der Angreifer beliebigen Programmcode ausführen. Automatisch lässt sich das Sicherheitsloch also nicht ausnutzen.
Die Sicherheitslücke wurde für Windows 2000, XP sowie Windows Server 2003 bestätigt. Nach Aussagen von Microsoft gibt es bislang noch keine aktiven Angriffe, die das Sicherheitsloch ausnutzen. Windows Vista, 7, Windows Server 2008 sowie 2008 R2 sind von dem Fehler nicht betroffen.
Bei Microsoft laufen noch die Untersuchungen. Ob und wann ein Patch veröffentlicht wird, ist derzeit nicht bekannt.
Quelle: Golem