Sicherheitsforscher warnt vor kritischer Zero-Day-Lücke in Windows

Sie betrifft XP und Server 2003. Es besteht ein Fehler in der Windows-Hilfe. Ein Angreifer kann darüber ein Fernwartungstool starten und über das Internet beliebige Befehle auf einem anfälligen System ausführen.

Der Google-Ingenieur und Sicherheitsforscher Tavis Ormandy hat vor einer ungepatchten Lücke in Windows XP gewarnt. Durch einen Fehler im Windows-Hilfe-Center könne ein Angreifer die Kontrolle über einen PC übernehmen. Zuvor müsse er einen Anwender allerdings zum Besuch einer manipulierten Website verleiten.

Die Schwachstelle kann laut Ormandy durch in Webadressen eingebettete Befehle ausgenutzt werden. Damit lasse sich ein Fernwartungstool der Windows-Hilfe aktivieren. „Wird die Lücke erfolgreich ausgenutzt, kann ein Angreifer beliebige Befehle mit den Rechten des angemeldeten Benutzers ausführen“, schreibt der Sicherheitsforscher in einem Security Advisory.

Ormandy hat die Anfälligkeit nach eigenen Angaben erfolgreich bei Windows XP und Windows Server 2003 getestet. Ein Angriff funktioniere auch mit dem Internet Explorer 8 und anderen Browsern, wenn der Windows Media Player installiert sei. Aber auch ohne sei Windows, vor allem mit älteren Versionen des Internet Explorer, angreifbar.

Microsoft habe er schon vergangenen Freitag über das Problem informiert, so der Sicherheitsforscher weiter. „Ich bin zu der Überzeugung gekommen, dass es sehr wahrscheinlich ist, dass Angreifer diese Komponente schon studiert haben, und dass eine Veröffentlichung dieser Informationen der allgemeinen Sicherheit dient“, schreibt Ormandy. In seinem Advisory nennt er auch Möglichkeiten, die Auswirkungen eines Angriffs zu minimieren.

Wie The Register berichtet, hat Microsoft inzwischen eine Untersuchung der Schwachstelle eingeleitet. Nach Angaben des Sprechers Jerry Bryant will der Softwareanbieter Details zu der von Ormandy entdeckten Sicherheitslücke bekannt geben, sobald das Ausmaß des Fehlers bekannt ist.

Google-Ingenieur Tavis Ormandy warnt auch auf Twitter vor der von ihm entdeckten Zero-Day-Lücke in Windows (Screenshot: ZDNet).
Google-Ingenieur Tavis Ormandy warnt auch auf Twitter vor der von ihm entdeckten Zero-Day-Lücke in Windows (Screenshot: ZDNet).

Themenseiten: Google, Microsoft, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitsforscher warnt vor kritischer Zero-Day-Lücke in Windows

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *