Microsoft schließt Sicherheitslücke im Windows Explorer

Der in diesem Monat von Microsoft veröffentlichte Patch schließt eine Sicherheitslücke im Windows Explorer älterer Betriebssystem-Versionen. Über diese Schwachstelle können Angreifer von Remotestandorten aus beliebigen Code ausführen. Allerdings nur, wenn es ihnen zuvor gelingt, einen mit administrativen Benutzerrechten angemeldeten User zum Anzeigen der Vorschau für eine präparierte Datei zu bewegen. Die Ursache für die Skripteinschleusungs-Sicherheitsanfälligkeit liegt nach Angaben des amerikanischen Software-Herstellers in der Verarbeitung bestimmter HTML-Zeichen in Vorschaufeldern der Webansicht im Windows Explorer.

Betroffen von dem Sicherheitsrisiko sind die Version Windows 98, 98 SE, ME, 2000 SP3 und 2000 SP4. Nur für Windows 2000 bewertet Microsoft das Sicherheitsrisiko trotz der erforderlichen, relativ zahlreichen Benutzereingriffe als "hoch", weswegen der Patch auch nur für Rechner mit dieser Betriebssystem-Version zur Verfügung steht. Weitere Informationen zu der Schwachstelle stehen im Security Bulletin MS05-024. Weitere Microsoft-Patches sind für diesen Monat nicht geplant.