Script-Lücke in Windows ab Version 98

Microsoft meldet eine kritische Sicherheitslücke in der Script-Engine von Windows. Betroffen sind die Windows-Versionen von Windows 98 bis Windows XP.

Der Fehler steckt in der Abarbeitung der Microsoft-Ausgabe des auf JavaScript basierenden JScript. Mittels einer präparierten Webseite oder auch per HTML-Mail kann ein Angreifer die Lücke für einen Buffer Overflow ausnutzen. Der so eingeschleuste Code läuft mit allen Rechten des Benutzers. Zu beachten ist, dass der Fehler in Windows selbst begraben liegt und nicht, wie sonst oft zu beobachten, im Internet Explorer.

Dennoch hilft es, wie Microsoft in einem Workaround beschreibt, Active Scripting im Webbrowser abzuschalten. Für die E-Mail-Version der möglichen Attacke kann das Einspielen des Sicherheits-Updates bei Outlook 98 und 2000 und die Grundkonfiguration bei Outlook Express 6.0 und Outlook 2002 das Schlimmste verhindern: nämlich das Ausführen des Scripts ohne weitere Aktion des Benutzers, abgesehen vom Öffnen der E-Mail.

Die Workarounds sollten nach Ansicht von Microsoft aber nur temporär verwendet werden, um zum Beispiel den Patch auf Funktionstüchtigkeit zu prüfen. Das zugehörige Bulletin von Microsoft und Links zu den Patches für die unterschiedlichen Systeme finden Sie hier. (uba)