Drei kritische Updates für Windows
MS06-002: Code-Ausführung durch eingebettete Web-Fonts
In Web-Seiten oder HTML-Emails lassen sich die zu verwendenden Schriftarten einbetten. Mittels einer speziell präparierten Schriftart-Datei kann ein Angreifer einen Pufferüberlauf erzwingen, der zur Ausführung beliebigen Codes mit den Rechten des aktuellen Benutzers führt.
Voraussetzung ist, dass der Benutzer eine entsprechend präparierte Web-Seite besucht oder eine Email mit Outlook (Express) in der HTML-Vorschau betrachtet. Nutzer von Windows 2003 Server sind in der Standard-Konfiguration nur per IE angreifbar, da Outlook Emails per Default nur als Textnachrichten anzeigt.
|
Datum |
10.01.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
alle Windows-Versionen |
|
Auswirkung |
Ausführung beliebigen Codes |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |