107820

Zwei Sicherheitslücken in Windows XP

03.04.2002 | 12:33 Uhr |

Der bulgarische Bug-Jäger Georgi Guninski hat wieder einmal zugeschlagen und zwei Sicherheitslücken in Windows XP entdeckt und veröffentlicht. Eine davon kann einem Angreifer die volle Kontrolle über einen XP-Rechner ermöglichen.

Der bulgarische Bug-Jäger Georgi Guninski hat wieder einmal zugeschlagen und zwei Sicherheitslücken unter Windows XP entdeckt und veröffentlicht.

Die erste Lücke in Outlook XP erlaubt einem Angreifer, "aktiven" Inhalt in eine Mail einzubetten. Dabei kann "aktiver" Inhalt Guninski zufolge sowohl ein Objekt als auch ein Skript beinhalten. Der eingebettete Inhalt würde dann ausgeführt, wenn die Mail weitergeleitet oder darauf geantwortet wird. Diese Lücke könnte dahingehend ausgenutzt werden, dass Anwender auf eine vom Angreifer präparierte Website gelockt werden.

Die zweite Lücke betrifft die Arbeitsblatt-Komponente unter Windows XP. Diese kann zusammen mit der oben genannten Lücke oder aber mit jedem Dokument ausgenutzt werden, das mit einer Office-Applikation geöffnet wird. Die Lücke gestattet es, exe-Files im Start-up-Directory des Anwenders zu platzieren.

Beide Lücken werden von Guninski mit dem Risiko "Hoch" eingestuft. Auf seiner Website bietet der Bug-Jäger Beispiel-Codes zur Demonstration der Lücken an.

Guninski zufolge wurde Microsoft bereits am 17. März über die Problematik informiert, allerdings wurde innerhalb der folgenden zwei Wochen kein Patch seitens der Redmonder veröffentlicht. Aus diesem Grund entschloss sich Guninski, die Lücken zu veröffentlichen.

Hintergrund: In der Vergangenheit hatte Microsoft Guninski vorgeworfen, derartige Informationen zu veröffentlichen, bevor Microsoft überhaupt Zeit für eine Bearbeitung der Lücken beziehungsweise zur Ausarbeitung eines Patches habe.

0 Kommentare zu diesem Artikel
107820