|
Sicherheitsloch in Windows 98 bis hin zum Windows Server 2003 Veröffentlicht am: 11.07.2003 10:32:35 Ein unscheinbarer Pufferüberlauf im HTML-Konverter kann beliebigen Code unter Windows 98, 2000, XP und dem sicheren Windows Server 2003 ausführen lassen. Bei der Verarbeitung von Konvertierungsanforderungen durch den HTML-Konverter für Microsoft Windows liegt nun ein Fehler vor, der zu einer „Sicherheitsanfälligkeit“ führt. Eine spezielle Anforderung an den HTML-Konverter kann dazu führen, dass der Konverter aufgrund eines Fehlers im Kontext des momentan angemeldeten Benutzers Code ausführt. Da diese Funktionalität durch den Internet Explorer genutzt wird, könnte ein Angreifer eine speziell gestaltete Webseite oder HTML-E-Mail erstellen, die dazu führt, dass der HTML-Konverter auf dem System eines Benutzers willkürlichen Code ausführt. Benutzer könnten daher allein durch den Besuch der Website eines Angreifers oder das Öffnen einer Email diesem ermöglichen, die Sicherheitsanfälligkeit ohne weiteren Benutzereingriff auszunutzen. Der ach so sichere Windows Server 2003 ist von dieser Sicherheitlücke auch betroffen, wenn die verstärkte Sicherheitskonfiguration des Internet Explorers durch den Benutzer deaktiviert wird. Da haben die Entwickler bei der Codereview wohl einen Buffer Overflow übersehen. :( Betroffene Software:
ONU-Version des Sicherheits-Bulletins Systemadministratoren-Version des Sicherheits-Bulletins Martin Leyrer |