Auf Microsofts Sicherheits-Seiten ist ein neuer Patch aufgetaucht, der ein Problem mit Universal Plug and Play (UPnP) beheben soll. Angreifer können durch diese Sicherheitslücke die Kontrolle über das gesamte System erlangen.

UPnP ist ein Systemdienst, der die Nutzung von Netzwerk-Geräten steuert. Bei Windows Me und XP ist dieser Dienst bereits eingebaut, 98 und 98 SE sind nur betroffen, wenn Sie Internet Connection Sharing nutzen und über einen Windows-XP-Rechner ins Internet gehen.

UPnP hat zwei Probleme:

Ein spezielles UPnP-Paket kann einen Puffer-Überlauf verursachen. Der Programm-Code wird dann als UPnP-Dienst ausgeführt, der einem Angreifer die komplette Kontrolle über Windows bescheren würde.
UPnP legt nicht fest, woher es die Informationen eines neuen Netzwerk-Geräts bezieht. Ein Angreifer könnte dieses Manko ausnutzen und eine DoS-Attacke (Denial of Service - Dienstverweigerung durch Überlastung) starten.


Das Update empfiehlt sich für alle Nutzer von Windows XP, die keine Firewall verwenden. Die anderen Windows-Varianten sind nur im Netzwerk-Verbund mit XP betroffen.

Info: www.microsoft.com
Download:hier (http://www.microsoft.com/downloads/release.asp?ReleaseID=34952&area=search&ordinal=3)

Sicherheitsloch in Windows XP alarmiert US-Behörden

Das am Donnerstag bekannt gewordene Sicherheitsleck in Windows XP hat beim US-Verteidigungsministerium und bei Behörden die Furcht vor möglichen "Denial of Service"-Attacken verstärkt. Nach Erkenntnissen der Nando Times haben Vertreter der US-Regierung und Sicherheitsexperten gestern in einer vom FBI organisierten Konferenzschaltung von Microsoft Auskünfte über den aktuellen Sicherheitsstand bei Windows XP verlangt. Im Mittelpunkt soll dabei die Frage gestanden haben, ob der vom Hersteller angebotene Security-Patch befürchtete Angriffe zuverlässig verhindern kann. Microsoft habe der Runde versichern können, dass nach der Installation des Korrekturprogramms keine Gefahr mehr bestehe.

In dem Gespräch, das Teilnehmer laut Nando Times als "extrem ehrlich und offen" bezeichneten, hatten Vertreter der Regierung bekräftigt, dass sie vor allem während des Weihnachtsfestes verstärkt mit Angriffen auf Behörden-Websites rechnen. Nach Informationen des FBI sollen vor allem Web-Sites des Verteidigungsministeriums gefährdet sein. Es gäbe jedoch auch Pläne, Organisationen zu treffen, die die wichtigsten nationalen Netzwerke betreuen. (em/c't)

Schon krass, was sich Microsoft so alles erlaubt.