183395

Windows-Hilfecenter anfällig für Web-Angriffe

11.06.2010 | 14:57 Uhr |

Ein Sicherheitsforscher hat Informationen über eine von ihm entdeckte Schwachstelle in Windows XP und Server 2003 veröffentlicht. Microsoft hat die Lücke in der Windows-Hilfe inzwischen bestätigt und empfiehlt Schutzvorkehrungen.

Die Online-Hilfe von Windows XP und Server 2003 kann ausgenutzt werden, um Windows mit Hilfe einer präparierten Web-Seite anzugreifen und Malware einzuschleusen. Ein Fehler in der Whitelist-Funktion des Hilfe- und Supportcenters erlaubt das Nachladen von Dateien aus nicht vertrauenswürdigen Quellen.

Der Sicherheitsforscher Tavis Ormandy, der auch für das Google Sicherheitsteam arbeitet, hat Details zu der von ihm entdeckten Schwachstelle veröffentlicht. Er hat seine Entdeckung nach eigenen Angaben am 5. Juni an Microsoft gemeldet. Er hat auch Beispiel-Code zur Ausnutzung der Lücke entwickelt und veröffentlicht, der weitere Tricks und Schwachstellen nutzt. Ormandy gilt auch als Entdecker von Sicherheitslücken in Flash , Java und Opera .

Microsoft hat die Sicherheitsmeldung 2219475 veröffentlicht, in der es die Anfälligkeit in Windows XP und Server 2003 bestätigt. Demnach sind Windows 7, Vista und Server 2008 nicht betroffen. Sie enthalten die noch bei XP verwendete Hilfe-Funktion so nicht mehr.

Microsoft rät ebenso wie andere Sicherheitsunternehmen, den von Ormandy angebotenen Fix für die Lücke nicht zu verwenden. Er beseitigt das Problem nicht und schützt auch nicht vor der Ausnutzung der Schwachstelle. Microsoft schlägt als Workaround vor die Registrierung des HCP-Protokolls zu entfernen.

Öffnen Sie dazu RegEdit und exportieren Sie den Eintrag HKEY_CLASSES_ROOT\HCP als REG-Datei, etwa als "hcp_backup.reg". Löschen Sie anschließend diesen Eintrag. Durch Doppelklick auf die gespeicherte REG-Datei können Sie die Änderung später wieder rückgängig machen.

Microsoft untersucht die Schwachstelle derzeit noch. Ob und wann Microsoft ein Sicherheits-Update bereit stellen wird, das die Sicherheitslücke schließt, ist zurzeit noch ungewiss.

0 Kommentare zu diesem Artikel
183395