Windows: Sicherheitslücke bei Thumbnails

Im Rahmen einer Sicherheitskonferenz wurde kürzlich eine Sicherheitslücke in Windows-Betriebssystemen entdeckt, welche es erlaubt, beliebigen Code in das System einzuschleusen und auszuführen. Betroffen sind Windows XP und Vista sowie deren Serverversionen – Windows 7 samt Server 2008 R2 bleiben verschont.

Die Lücke wird ausgenutzt, wenn eine schadhafte Datei mit präpariertem Vorschaubild über den Explorer oder per WebDAV auf dem System ausgeführt wird – allerdings ist bisher kein Fall bekannt, in dem sich dies zu Nutze gemacht wird, was sich natürlich schnell ändern kann.

Aktuell sieht Microsoft keinen Grund einen außerplanmäßigen Patch bereitzustellen, der nächste Patchday ist auf den 11. Januar datiert. Bis dahin können die Zugriffsrechte auf die Bibliothek shimgvw.dll manuell verringert werden, was allerdings die komplette Thumbnail-Funktion deaktiviert.

Auf der Liste der fehlenden Patches befindet sich außerdem weiterhin eine Problemlösung für eine Sicherheitslücke im Internet Explorer, die kurz vor Weihnachten bekannt wurde. In den Versionen 6, 7 und 8 des Browsers können über angepasste CSS-Dateien beliebige Codes auf dem Rechner ausgeführt werden.