Hier mal nachlesen zur Info:
http://cert.uni-stuttgart.de/archive/bugtraq/2002/08/msg00224.html#
Durch eine Schwachstelle im Hilfe- und Supportcenter-System von Windows
XP können arglistige Webseiten, HTML-E-Mails oder Newsartikel beliebige
Dateien löschen und möglicherweise beliebigen Programmcode ausführen.
Das Hilfe- und Supportcenter kann dazu über das "hcp:"-Protokoll
mittels eines URL aufgerufen werden. Wird beispielsweise der URL
hcp://system/DFS/uplddrvinfo.htm?file://c:\rus-cert.txt als URL in
einem Browser aufgerufen, so wird das Hilfe- und Supportcenter
gestartet und beim Beenden die Datei c:\rus-cert.txt gelöscht.
Sollte unbeabsichtigt das "Hilfe- und Supportcenter"-Fenster
erscheinen, so sollten Sie den Prozess HelpCtr.exe im Taskmanager
beenden, ohne zuvor das "Hilfe- und Supportcenter"-Fenster zu
schliessen. So können Sie u.U. verhindern, daß böswillige Funktionen
ausgeführt werden (im obigen Beispiel wird die Datei c:\rus-cert.txt
durch das harte Beenden des HelpCtr.exe-Prozesses nicht gelöscht).
Da das hcp-Protokoll normalerweise nicht benötigt wird, sollte es durch
eine Änderung in der Registry deaktiviert werden:
* Öffne den Registry Editor (regedit.exe)
* Wähle HKEY_CLASSES_ROOT\HCP\shell\open\command aus und
entfernen den Standardwert
"%windir%\PCHealth\HelpCtr\Binaries\HelpCtr.exe" -url "%1"".
Alternativ können auch die Zugriffsrechte auf die Datei
%windir%\PCHealth\HelpCtr\Binaries\HelpCtr.exe restriktiv gestaltet werden,
damit Benutzer selbige nicht mehr Ausführen können.
Gegenmaßnahmen
Anscheinend wird es für diese Schwachstelle kein Sicherheitsupdate
geben, sondern wird vielmehr in dem Service Pack 1 für Windows XP
behoben werden. Ein Patch gibt es evtl hier:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-060.asp
