Patch Day Januar 2005: Schwere Lücke in HTML-Hilfe
MS05-001: Lücke in HTML-Help erlaubt Ausführung von Code
Das HTML Help ActiveX Control (hhctrl.ocx) weist einen Fehler auf, durch den ein Angreifer über Sicherheitszonen hinweg Code ausführen kann. Normalerweise sollten verschiedene Sicherheitszonen voneinander abgeschottet sein.
Um die Lücke auszunutzen, muss der Angreifer lediglich eine spezielle Webseite erstellen und das Opfer dorthin locken. Dann kann er auf dem System mit den Zugriffsrechten des Opfers beliebige Dateien installieren und ausführen.
Um zu verhindern, dass die Lücke per HTML-Mail und Outlook ausgenutzt wird, sollten Sie alle relevanten Sicherheits-Updates für Outlook/Outlook Express installieren. Diese sorgen dafür, dass HTML-Mails nur in der eingeschränkten Zone geöffnet werden.
Datum | 11.01.2005 |
|---|---|
| |
Warnstufe | kritisch |
Betrifft | Windows 2000 bis SP4, Windows XP bis SP2, Windows XP 64 Bit, Windows Server 2003, Windows Server 2003 64 Bit, Windows 98/98SE/Me, Internet Explorer 6 SP1 |
Auswirkung | Ausführung beliebigen Codes |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security |