… aus der Rubrik Windows 7

» alle Rubriken

mhtml-Lücke per Security-Fix schließen

Online seit
11.02.2011

Seit Mitte/Ende Januar ist eine Sicherheitslücke bekannt, die praktisch alle Windows-Versionen (Workstation und Server) betrifft – und auch Software, die die HTML-Engine des IE nutzt (z.B. Outlook).

Auch Microsoft warnt vor dieser Cross-Site-Scripting-Gefahr in Windows im Microsoft Security Advisory (2501696, engl.) und auch gleich noch ein paar ergänzende Informationen (engl.), inkl. einer Beschreibung der möglichen Neben­effekte, die aus dem verfügbaren Security-Fix entstehen.
 

Kurzbeschreibung

  • Diese Schwachstelle in Windows ermöglicht es Angreifern, Skripte über vermeintlich vertrauenswürdige Websites einzuschleusen – dieser Vorgang ist für den Surfer bzw. Leser von HTML-Mails i.d.R. nicht zu erkennen
  • Ein Skript, das über diese Lücke gestartet wurde, läuft z.B. im Browser, insbesondere im Internet Explorer, im Kontext der angegriffenen Webseite
  • Der Inhalt kann durch das Skript nachträglich manipuliert werden Eingaben von Webseiten-Besuchern können ausspioniert oder in deren Namen ausgeführt werden
     

Fehlerbehebung

  • Mittlerweile wurde ein Security-Fix veröffentlicht, da zumindest noch kein "echtes Update" zur Beseitigung der Schwachstelle in Sicht ist.
  • Diesen Security-Fix kann man direkt von entsprechenden Website in der Knowledgebase ausführen:
    Microsoft Hilfe und Support
  • Ausgeliefert wird ein komplettes Installationspaket mit einem Assistenten, dem man nur folgen muss.
  • Alternativ kann man das Paket auf diesem Weg auch herunterladen, um nicht an jedem Rechner die genannte Website aufrufen zu müssen.
Hinweis:  
Die Veröffentlichung dieser Informationen erfolgt nach sorgfältiger Prüfung,
jedoch ohne Gewähr. Eine Haftung kann keinesfalls übernommen werden.
Die Inhalte sind interessant oder hilfreich für Sie und andere? Sagen Sie's einfach weiter.