Der Google-Ingenieur und Sicherheitsforscher Tavis Ormandy hat vor einer ungepatchten Lücke in Windows XP gewarnt. Durch einen Fehler im Windows-Hilfe-Center könne ein Angreifer die Kontrolle über einen PC übernehmen. Zuvor müsse er einen Anwender allerdings zum Besuch einer manipulierten Website verleiten.
Die Schwachstelle kann laut Ormandy durch in Webadressen eingebettete Befehle ausgenutzt werden. Damit lasse sich ein Fernwartungstool der Windows-Hilfe aktivieren. „Wird die Lücke erfolgreich ausgenutzt, kann ein Angreifer beliebige Befehle mit den Rechten des angemeldeten Benutzers ausführen“, schreibt der Sicherheitsforscher in einem Security Advisory.
Ormandy hat die Anfälligkeit nach eigenen Angaben erfolgreich bei Windows XP und Windows Server 2003 getestet. Ein Angriff funktioniere auch mit dem Internet Explorer 8 und anderen Browsern, wenn der Windows Media Player installiert sei. Aber auch ohne sei Windows, vor allem mit älteren Versionen des Internet Explorer, angreifbar.
Microsoft habe er schon vergangenen Freitag über das Problem informiert, so der Sicherheitsforscher weiter. „Ich bin zu der Überzeugung gekommen, dass es sehr wahrscheinlich ist, dass Angreifer diese Komponente schon studiert haben, und dass eine Veröffentlichung dieser Informationen der allgemeinen Sicherheit dient“, schreibt Ormandy. In seinem Advisory nennt er auch Möglichkeiten, die Auswirkungen eines Angriffs zu minimieren.
Wie The Register berichtet, hat Microsoft inzwischen eine Untersuchung der Schwachstelle eingeleitet. Nach Angaben des Sprechers Jerry Bryant will der Softwareanbieter Details zu der von Ormandy entdeckten Sicherheitslücke bekannt geben, sobald das Ausmaß des Fehlers bekannt ist.
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.