Montag, 1. März 2010
Sicherheitswarnung! Sicherheitslücke in Internet Explorer durch Aufruf von Hilfedateien (HLP) auf Webseiten via VBScript [4. Update]
Microsoft informiert in einem Eintrag im MSRC-Blog (Microsoft Security Response Center) über eine neu veröffentlichte, potenzielle Sicherheitslücke in allen Internet Explorer-Versionen, die über den (bislang) manuellen Aufruf von hlp-Dateien über die [F1]-Taste auf Webseiten zur Ausführung von Programmcode genutzt werden kann. Voraussetzungen für das Ausnutzen der Sicherheitslücke sind zum einen aktiviertes ActiveScripting (VBScript) im Internet Explorer und zum andern "alte" hlp-Dateien, die über die win32hlp.exe in einem PopUp-Fenster auf ener Website geöffnet werden. Wenn der Anwender hierbei die [F1]-Taste nicht drückt, ist die Lücke nach derzeitigem Kenntnisstand nicht ausnutzbar.
[4. Update] Die Sicherheitslücke wurde mit dem Sicherheitsupdate MS10-022 behoben, das/die Microsoft am 13.04.2010 veröffentlicht hat. Siehe auch KB981349 bzw.KB981332 für Windows XP. [/4. Update]
[4. Update] Die Sicherheitslücke wurde mit dem Sicherheitsupdate MS10-022 behoben, das/die Microsoft am 13.04.2010 veröffentlicht hat. Siehe auch KB981349 bzw.KB981332 für Windows XP. [/4. Update]
[3. Update] Wie Microsoft im MSRC-Blog mitteilt, soll u.a. diese Lücke mit einem Update geschlossen werden, das am 13. April 2010 (regulärer Patchday für April) veröffentlicht werden soll. [/3. Update]
[2. Update] Nach einer längeren Wartezeit hat mir Microsoft bzw. dessen "Security & Response Center" (MSRC) am 24.03.2010 mitgeteilt, dass der Internet Explorer 8 unter Windows 7 auch dann nicht von dieser potenziellen Sicherheitslücke betroffen ist, wenn mittels KB917607 die Funktion zur Darstellung von HLP-Dateien nachgerüstet wurde. Das selbe gilt auch für die auf dieser kleinen Site nicht behandelten Windows Vista, Server 2008 und Server 2008 R2. Die Sicherheitswarnung für Internet Explorer 8 unter Windows 7 wurde daher von mir aufgehoben. [/ 2. Update]
[1. Update] Zwischenzeitlich hat Microsoft zur Lücke das Security Advisory 981169 (deutschsprachig) veröffentlicht. Weitere ausführlichere technische Details finden sich in einem Eintrag im Security Research & Defense-Blog von Microsoft. Diese Sicherheitslücke firmiert auch unter dem CVE-Namen CVE-2010-0483.[/ 1. Update]
[2. Update] Nach einer längeren Wartezeit hat mir Microsoft bzw. dessen "Security & Response Center" (MSRC) am 24.03.2010 mitgeteilt, dass der Internet Explorer 8 unter Windows 7 auch dann nicht von dieser potenziellen Sicherheitslücke betroffen ist, wenn mittels KB917607 die Funktion zur Darstellung von HLP-Dateien nachgerüstet wurde. Das selbe gilt auch für die auf dieser kleinen Site nicht behandelten Windows Vista, Server 2008 und Server 2008 R2. Die Sicherheitswarnung für Internet Explorer 8 unter Windows 7 wurde daher von mir aufgehoben. [/ 2. Update]
[1. Update] Zwischenzeitlich hat Microsoft zur Lücke das Security Advisory 981169 (deutschsprachig) veröffentlicht. Weitere ausführlichere technische Details finden sich in einem Eintrag im Security Research & Defense-Blog von Microsoft. Diese Sicherheitslücke firmiert auch unter dem CVE-Namen CVE-2010-0483.[/ 1. Update]
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
Aus organisatorischen Gründen verzögert sich auf dieser kleinen Site die Berichterstattung über die am 13. April 2010 anstehenden Updates für Windows XP SP3 und Windows 7. Sobald es zeitlich [...]
Aufgenommen: 12.04.2010 15:31
Kurzbeschreibung: Sicherheitsupdate, das eine Lücke im standardmäßig in Windows XP enthaltenen VBScript (Visual Basic Script) 5.7 schließen, durch die ein Angreifer in Windows-Systeme [...]
Aufgenommen: 15.04.2010 12:40
Kurzbeschreibung: Sicherheitsupdate, das eine Lücke in der im Windows Internet Explorer 8 für Windows XP SP3 enthaltenen VBScript (Visual Basic Script) 5.8 schließen solll, durch die ein [...]
Aufgenommen: 15.04.2010 12:41