Microsoft räumt mit alten Fehlern auf
Die Redmonder haben zwei Advisorys zu Schwachstellen in alten Versionen des Internet Explorer sowie Windows XP und Server 2003 veröffentlicht.
Zwar sollte sie eigentlich kaum noch jemand einsetzen, aber einige wenige Anwender wiegen sich in trügerischer Sicherheit, weil für sie ja angeblich keine Exploits mehr kursieren: die Internet-Explorer-Versionen 5.01 und 5.5. Das könnte sich nun ändern. Microsoft weist in einem Security Advisory darauf hin, dass in diesen Versionen eine weitere Lücke bei der Verarbeitung von WMF-Dateien steckt, die beim Besuch einer manipulierten Webseite zur Infektion mit Schädlingen führen kann. Die Lücke hat nichts mit der Ende Dezember bekannt gewordenen WMF-Lücke zu tun und ist nicht im Internet Explorer 6 enthalten. Abhilfe schafft deshalb auch die Installation von Version 6 SP1.
Des Weiteren reagiert Microsoft mit einem Advisory auf ein Dokument von Andrew Appel und Sudhakar Govindavajhala. Sie weisen darin auf Fehlkonfigurationen des Windows Zugriffs-Modells hin und führen als Beispiele die Windows-Dienste uPnP, NetBT, SCardSvr und SSDP an, durch die eingeschränkte Nutzer an System-Rechte unter XP gelangen können. Unter Windows Server 2003 lässt sich NetBT dafür ausnutzen. Um sich des Problems zu entledigen, empfehlen die Redmonder die Installation des Service Packs 2 für Windows XP und Service Pack 1 für Windows Server 2003.
Siehe dazu auch: (dab)
- Possible Vulnerability in Windows Service ACLs, Advisory von Microsoft
- Vulnerability in Internet Explorer Could Allow Remote Code Execution, Advisory von Microsoft
- Höhere Zugriffsrechte unter Windows durch falsch konfigurierte Programme, Meldung auf heise Security
