---rOOts---
Senior Member
Zwei Sicherheitslücken in Windows XP
Der bulgarische Bug-Jäger Georgi Guninski hat wieder einmal zugeschlagen und zwei Sicherheitslücken unter Windows XP entdeckt und veröffentlicht.
Die erste Lücke in Outlook XP erlaubt einem Angreifer, "aktiven" Inhalt in eine Mail einzubetten. Dabei kann "aktiver" Inhalt Guninski zufolge sowohl ein Objekt als auch ein Skript beinhalten. Der eingebettete Inhalt würde dann ausgeführt, wenn die Mail weitergeleitet oder darauf geantwortet wird. Diese Lücke könnte dahingehend ausgenutzt werden, dass Anwender auf eine vom Angreifer präparierte Website gelockt werden.
Die zweite Lücke betrifft die Arbeitsblatt-Komponente unter Windows XP. Diese kann zusammen mit der oben genannten Lücke oder aber mit jedem Dokument ausgenutzt werden, das mit einer Office-Applikation geöffnet wird. Die Lücke gestattet es, exe-Files im Start- up-Directory des Anwenders zu platzieren.
Beide Lücken werden von Guninski mit dem Risiko "Hoch" eingestuft. Auf seiner Website bietet der Bug-Jäger Beispiel-Codes zur Demonstration der Lücken an.
Guninski zufolge wurde Microsoft bereits am 17. März über die Problematik informiert, allerdings wurde innerhalb der folgenden zwei Wochen kein Patch seitens der Redmonder veröffentlicht. Aus diesem Grund entschloss sich Guninski, die Lücken zu veröffentlichen.
Hintergrund: In der Vergangenheit hatte Microsoft Guninski vorgeworfen, derartige Informationen zu veröffentlichen, bevor Microsoft überhaupt Zeit für eine Bearbeitung der Lücken beziehungsweise zur Ausarbeitung eines Patches habe.
Reaktion von Microsoft
In einer Stellungnahme von Microsoft, die dem IDG News Service per Mail zuging, gibt das Unternehmen an, die Problematik zu untersuchen und bestätigt die erstgenannte Lücke.
Als erste Hilfsmaßnahme empfiehlt Microsoft, HTML-Mail abzuschalten und MS Word nicht als Standard-Mail-Editor einzurichten. Für die zweite Lücke kann Microsoft bislang nicht einmal einen Work-around anbieten, allerdings ist diese nach Ansicht von Microsoft auch nicht allzu tragisch, da sie nur erlaubt, Dateien zu erstellen, aber nicht, sie auszuführen.
"Wir sind betrübt, dass dieser Bericht veröffentlicht wurde, bevor wir eine faire Chance hatten, die Lücken zu untersuchen", so Microsoft in dem Statement. "Diese Veröffentlichung setzt unsere Käufer unnötigen Risiken oder zumindest unnötiger Verwirrung und Besorgnis aus."
Und an die Adresse von Guninski: "Verantwortungsbewusste Sicherheits-Forscher arbeiten mit den jeweiligen Anbietern zusammen, um sicherzustellen, dass Gegenmaßnahmen entwickelt sind, bevor eine Lücke veröffentlicht wird und Anwender somit unnötigen Risiken ausgesetzt sind."
Der bulgarische Bug-Jäger Georgi Guninski hat wieder einmal zugeschlagen und zwei Sicherheitslücken unter Windows XP entdeckt und veröffentlicht.
Die erste Lücke in Outlook XP erlaubt einem Angreifer, "aktiven" Inhalt in eine Mail einzubetten. Dabei kann "aktiver" Inhalt Guninski zufolge sowohl ein Objekt als auch ein Skript beinhalten. Der eingebettete Inhalt würde dann ausgeführt, wenn die Mail weitergeleitet oder darauf geantwortet wird. Diese Lücke könnte dahingehend ausgenutzt werden, dass Anwender auf eine vom Angreifer präparierte Website gelockt werden.
Die zweite Lücke betrifft die Arbeitsblatt-Komponente unter Windows XP. Diese kann zusammen mit der oben genannten Lücke oder aber mit jedem Dokument ausgenutzt werden, das mit einer Office-Applikation geöffnet wird. Die Lücke gestattet es, exe-Files im Start- up-Directory des Anwenders zu platzieren.
Beide Lücken werden von Guninski mit dem Risiko "Hoch" eingestuft. Auf seiner Website bietet der Bug-Jäger Beispiel-Codes zur Demonstration der Lücken an.
Guninski zufolge wurde Microsoft bereits am 17. März über die Problematik informiert, allerdings wurde innerhalb der folgenden zwei Wochen kein Patch seitens der Redmonder veröffentlicht. Aus diesem Grund entschloss sich Guninski, die Lücken zu veröffentlichen.
Hintergrund: In der Vergangenheit hatte Microsoft Guninski vorgeworfen, derartige Informationen zu veröffentlichen, bevor Microsoft überhaupt Zeit für eine Bearbeitung der Lücken beziehungsweise zur Ausarbeitung eines Patches habe.
Reaktion von Microsoft
In einer Stellungnahme von Microsoft, die dem IDG News Service per Mail zuging, gibt das Unternehmen an, die Problematik zu untersuchen und bestätigt die erstgenannte Lücke.
Als erste Hilfsmaßnahme empfiehlt Microsoft, HTML-Mail abzuschalten und MS Word nicht als Standard-Mail-Editor einzurichten. Für die zweite Lücke kann Microsoft bislang nicht einmal einen Work-around anbieten, allerdings ist diese nach Ansicht von Microsoft auch nicht allzu tragisch, da sie nur erlaubt, Dateien zu erstellen, aber nicht, sie auszuführen.
"Wir sind betrübt, dass dieser Bericht veröffentlicht wurde, bevor wir eine faire Chance hatten, die Lücken zu untersuchen", so Microsoft in dem Statement. "Diese Veröffentlichung setzt unsere Käufer unnötigen Risiken oder zumindest unnötiger Verwirrung und Besorgnis aus."
Und an die Adresse von Guninski: "Verantwortungsbewusste Sicherheits-Forscher arbeiten mit den jeweiligen Anbietern zusammen, um sicherzustellen, dass Gegenmaßnahmen entwickelt sind, bevor eine Lücke veröffentlicht wird und Anwender somit unnötigen Risiken ausgesetzt sind."