Patch Day Oktober 2005: Neun Updates
MS05-044: FTP-Client speichert Daten am falschen Ort
Eine Lücke im FTP-Client von Windows lässt sich von einem Angreifer ausnutzen, um den tatsächlichen Speicherort einer heruntergeladenen Datei zu manipulieren. Die Datei wird also nicht dort gespeichert, wo der Benutzer es will, sondern an eine andere Stelle, die der Angreifer spezifiziert. Der Grund ist, dass der Client die vom Server gelieferten Dateienamen nicht ausreichend validiert.
Problematisch wird das beispielsweise dann, wenn der Angreifer eine ausführbare Datei im Autostart-Ordner des Opfers platziert. Der Angreifer muss dazu nur eine Datei mit einem speziellen Dateinamen auf einem FTP-Server ablegen und das Opfer dazu bringen, diese Datei herunterzuladen.
Datum | 11.10.2005 |
---|---|
Warnstufe | Mittel |
Betrifft | Windows XP SP1, Windows Server 2003, Windows Server 2003 für Itanium, IE6 SP1 auf Windows 2000 SP4 |
Auswirkung | Speichern von Dateien an beliebigen Orten |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |