Microsoft: Warnung vor neuer Sicherheitslücke

21.03.2003
Microsoft warnt vor einer kritischen Sicherheitslücke, die alle Windows-Versionen von Windows 98 bis Windows XP betrifft. Wie der Softwarekonzern in seinem Security-Bulletin mitteilt, liegt der Fehler in der Windows Script Engine bei der Verarbeitung von JScript. Microsoft empfiehlt allen Benutzern von Windows den entsprechenden Patch so schnell wie möglich zu installieren. Als provisorische Maßnahme kann auch die Unterstützung für Active Scripting im Internet Explorer deaktiviert werden. Die Windows Script Engine ermöglicht es dem Betriebssystem Scripts von Webseiten zu behandeln. Scripts werden dazu verwendet, zusätzliche Funktionen in Webseiten oder einem Programm zu integrieren, und können in mehreren unterschiedlichen Sprachen wie Visual Basic Script oder Jscript geschrieben sein. Um die Sicherheitslücke auszunützen, muss ein Angreifer eine speziell präparierte Webseite zusammenstellen. Sobald das Opfer die Webpage besucht, kommt der gewünschte Code des Angreifers zur Ausführung. Dabei erhält der Angreifer alle Privilegien des Benutzers. Die Webpage kann entweder auf einem Webserver bereitgestellt werden oder direkt an das Opfer als HTML-Mail versandt werden. In diesem Szenario kann es zu einer automatischen Ausführung des Angriffs kommen, ohne dass der Benutzer auf den Link klickt. Nicht betroffen sind Outlook Express 6.0 und Outlook 2002 in der Grundeinstellung sowie Outlook 98 und 2000 mit dem entsprechenden Sicherheitsupdate. (mf)

Microsoft warnt vor einer kritischen Sicherheitslücke, die alle Windows-Versionen von Windows 98 bis Windows XP betrifft. Wie der Softwarekonzern in seinem Security-Bulletin mitteilt, liegt der Fehler in der Windows Script Engine bei der Verarbeitung von JScript. Microsoft empfiehlt allen Benutzern von Windows den entsprechenden Patch so schnell wie möglich zu installieren. Als provisorische Maßnahme kann auch die Unterstützung für Active Scripting im Internet Explorer deaktiviert werden. Die Windows Script Engine ermöglicht es dem Betriebssystem Scripts von Webseiten zu behandeln. Scripts werden dazu verwendet, zusätzliche Funktionen in Webseiten oder einem Programm zu integrieren, und können in mehreren unterschiedlichen Sprachen wie Visual Basic Script oder Jscript geschrieben sein. Um die Sicherheitslücke auszunützen, muss ein Angreifer eine speziell präparierte Webseite zusammenstellen. Sobald das Opfer die Webpage besucht, kommt der gewünschte Code des Angreifers zur Ausführung. Dabei erhält der Angreifer alle Privilegien des Benutzers. Die Webpage kann entweder auf einem Webserver bereitgestellt werden oder direkt an das Opfer als HTML-Mail versandt werden. In diesem Szenario kann es zu einer automatischen Ausführung des Angriffs kommen, ohne dass der Benutzer auf den Link klickt. Nicht betroffen sind Outlook Express 6.0 und Outlook 2002 in der Grundeinstellung sowie Outlook 98 und 2000 mit dem entsprechenden Sicherheitsupdate. (mf)

Zur Startseite