Ein Fehler in der Scripting-Engine von Windows kann von Angreifern dazu ausgenutzt werden, beliebigen Code auszuführen. Betroffen sind laut einem Security-Bulletin von Microsoft alle Versionen von Windows 98 angefangen bis hin zu Windows XP. Der Fehler liegt in der Script-Behandlung des JScript-Teils der Scripting-Engine. JScript ist Microsofts Implementation der Script-Sprache, die in ECMA262 des Standardisierungsgremiums European Computer Manufacturers Association definiert ist und auf JavaScript basiert.
Um die Sicherheitslücke auszunutzen, muss ein Angreifer eine spezielle Webseite zusammenstellen, die dann beliebigen Code auf dem Rechner des Besuchers dieser Webseite ausführen lassen kann. Der Code des Angreifers läuft im Sicherheitskontext des Users. Die Webseite kann entweder durch Bereitstellung auf einem Webserver oder per E-Mail verbreitet werden. Einige Outlook-Versionen lassen es zudem zu, dass der Code einer entsprechend präparierten E-Mail automatisch ausgeführt wird, ohne dass der Benutzer auf einen Link klicken muss. Nicht betroffen von diesem Effekt sind Outlook Express 6 und Outlook 2002 in der Standardkonfiguration; außerdem verhindert das Security Update für Outlook 98 und 2000 das automatische Ausführen solchen Codes. Details zu der Sicherheitslücke finden sich in einem Advisory der Sicherheitsfirma iDefense.
Anwender von Internet Explorer und Outlook, die im Internet Explorer das Active Scripting deaktiviert haben, sind durch die Sicherheitslücke nicht in Gefahr. Außerdem stellt Microsoft einen Patch bereit und empfiehlt dringend, diesen zu installieren. Darüber hinaus gibt der Konzern aber im Advisory auch Hinweise, wie man sich schützen kann, bis man die Funktionstüchtigkeit des Patches verifiziert hat. Für die unterschiedlichen Windows-Versionen hat Microsoft zwei Pakete zur Korrektur der Sicherheitslücke veröffenticht, eines für Windows 98 und SE, NT 4 und Terminal Server, eines für Windows 2000 und Windows XP. Die Pakete liegen auch in den diversen unterstützten Landessprachen vor. Nutzer von Windows ME verweist Microsoft auf das Windows Update.
Copyright 1999 - 2024 by www.ocinside.de - All rights reserved.
Unser PC Forum verwendet Cookies für einen optimalen Service. Durch die Nutzung dieser Webseite erklären Sie sich damit einverstanden, dass wir personenbezogene Daten wie z.B. die IP-Adresse speichern und wir zusammen mit Drittanbietern Cookies verwenden, um personalisierte Anzeigen zur interessengerechten Werbung und weitere externe Inhalte anzuzeigen. Einverstanden? Ja / Nein ImpressumDatenschutzEinstellungen
