Windows 2000: Neue Bugs und Fixes
Fehler in Authenticode-Überprüfung
Authenticode sorgt dafür, dass ActiveX-Steuerelemente nicht automatisch installiert werden. Erst nachdem Authenticode den Anbieter identifiziert und bestätigt hat, dass keine Manipulation vorliegt, kann man entscheiden, ob das Steuerelement installiert wird. Ein Bug bei der Autorisierungs-Überprüfung kann dazu führen, dass ein ActiveX-Steuerelement bei zu geringem Arbeitsspeicher ohne vorherige Abfrage heruntergeladen und installiert wird.
Die Sicherheitslücke lässt sich entweder mit speziell gestalteten Webseiten ausnutzen oder der Angreifer sendet seinem Opfer eine besonders gestaltete HTML-E-Mail. Wird diese Nachricht geöffnet, können nicht autorisierte Steuerelemente installiert und ausgeführt werden.
Der bereitgestellte Patch beseitigt die Lücken. Es stellt sicher, dass Authenticode immer vom Benutzer eine einwandfreie Bestätigung verlangt. Als erste Gegenmaßnahme empfiehlt Microsoft das Deaktivieren von ActiveX-Downloads im Internet Explorer.
In unserem Security-Newsletter finden Sie diese Lücke unter der ID 1265.
Datum | 10.02.2004 |
|---|---|
Betrifft | Windows 2000 S, NT Server 4.0, Server 2003 |
Wirkung | Remote-Codeausführung |
Patch | |
Abhilfe | Patch installieren |
Infos |