Drei kritische Updates für Windows
MS06-002: Code-Ausführung durch eingebettete Web-Fonts
In Web-Seiten oder HTML-Emails lassen sich die zu verwendenden Schriftarten einbetten. Mittels einer speziell präparierten Schriftart-Datei kann ein Angreifer einen Pufferüberlauf erzwingen, der zur Ausführung beliebigen Codes mit den Rechten des aktuellen Benutzers führt.
Voraussetzung ist, dass der Benutzer eine entsprechend präparierte Web-Seite besucht oder eine Email mit Outlook (Express) in der HTML-Vorschau betrachtet. Nutzer von Windows 2003 Server sind in der Standard-Konfiguration nur per IE angreifbar, da Outlook Emails per Default nur als Textnachrichten anzeigt.
Datum |
10.01.2006 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
alle Windows-Versionen |
Auswirkung |
Ausführung beliebigen Codes |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |