Web-Angriffe

Fix-it-Lösung für kritische MSXML-Lücke

Eine beim Patch Day nicht geschlossene Sicherheitslücke wird bereits für Angriffe auf Windows- und Office-Benutzer ausgenutzt. Microsoft hat eine Sicherheitsempfehlung veröffentlicht und stellt einen Workaround in Gestalt einer Fix-it-Lösung bereit.

image.jpg

© Archiv

Zusammen mit den Security Bulletins im Rahmen des Update-Dienstags am 12. Juni hat Microsoft die Sicherheitsempfehlung 2719615 veröffentlicht. Darin geht es um eine kritische Sicherheitslücke in den XML Core Services 3.0, 4.0, 5.0 und 6.0 (MSXML), die bereits Ziel aktiver Angriffe ist. Der Fehler tritt auf, wenn MSXML versucht auf ein nicht initialisiertes Objekt im Speicher zuzugreifen. Betroffen sind alle noch unterstützten Windows-Versionen sowie die Office-Versionen 2003 und 2007.In einem Web-basierten Angriffsszenario müsste ein Angreifer potenzielle Opfer auf eine speziell präparierte Web-Seite locken. Verwendet das Opfer dazu den Internet Explorer, kann der Angreifer beliebigen Code einschleusen, der mit den Rechten des angemeldeten Benutzers ausgeführt wird. Da es sich auch um manipulierte Seiten auf ansonsten legitimen Websites handeln kann, lässt es sich nicht zuverlässig vermeiden auf eine derartige Seite zu kommen.Ein Sicherheits-Update, das die Schwachstelle im XML-Dienst beseitigen würde, steht noch nicht zur Verfügung. Microsoft hat einen Workaround entwickelt, der die Angriffsmethode blockiert. Wer diese Fix-it-Lösung nicht nutzen will, sollte den Internet Explorer meiden oder Active Scripting abschalten. Letzteres macht jedoch viele Seiten nahezu unbenutzbar.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…