Microsoft warnt vor kritischer Windows-SicherheitslĂĽcke
Ein Fehler in der Scripting-Engine von Windows kann von Angreifern dazu ausgenutzt werden, beliebigen Code auszufĂĽhren. Microsoft stellt Patches fĂĽr alle Windows-Versionen bereit.
Ein Fehler in der Scripting-Engine von Windows kann von Angreifern dazu ausgenutzt werden, beliebigen Code auszufĂĽhren. Betroffen sind laut einem Security-Bulletin von Microsoft alle Versionen von Windows 98 angefangen bis hin zu Windows XP. Der Fehler liegt in der Script-Behandlung des JScript-Teils der Scripting-Engine. JScript ist Microsofts Implementation der Script-Sprache, die in ECMA262 des Standardisierungsgremiums European Computer Manufacturers Association definiert ist und auf JavaScript basiert.
Um die Sicherheitslücke auszunutzen, muss ein Angreifer eine spezielle Webseite zusammenstellen, die dann beliebigen Code auf dem Rechner des Besuchers dieser Webseite ausführen lassen kann. Der Code des Angreifers läuft im Sicherheitskontext des Users. Die Webseite kann entweder durch Bereitstellung auf einem Webserver oder per E-Mail verbreitet werden. Einige Outlook-Versionen lassen es zudem zu, dass der Code einer entsprechend präparierten E-Mail automatisch ausgeführt wird, ohne dass der Benutzer auf einen Link klicken muss. Nicht betroffen von diesem Effekt sind Outlook Express 6 und Outlook 2002 in der Standardkonfiguration; außerdem verhindert das Security Update für Outlook 98 und 2000 das automatische Ausführen solchen Codes. Details zu der Sicherheitslücke finden sich in einem Advisory der Sicherheitsfirma iDefense.
Anwender von Internet Explorer und Outlook, die im Internet Explorer das Active Scripting deaktiviert haben, sind durch die Sicherheitslücke nicht in Gefahr. Außerdem stellt Microsoft einen Patch bereit und empfiehlt dringend, diesen zu installieren. Darüber hinaus gibt der Konzern aber im Advisory auch Hinweise, wie man sich schützen kann, bis man die Funktionstüchtigkeit des Patches verifiziert hat. Für die unterschiedlichen Windows-Versionen hat Microsoft zwei Pakete zur Korrektur der Sicherheitslücke veröffenticht, eines für Windows 98 und SE, NT 4 und Terminal Server, eines für Windows 2000 und Windows XP. Die Pakete liegen auch in den diversen unterstützten Landessprachen vor. Nutzer von Windows ME verweist Microsoft auf das Windows Update.
Sicherheitshinweise zum Umgang mit Webbrowser und E-Mail-Programm finden sich auch auf den Antiviren-Seiten von c't. (jk)