Die Sicherheitslücken waren dieses Jahr immer wieder ein präsentes Thema. Und wie es scheint, werden sie es auch noch eine Zeit bleiben. Im Frühling wurde eine Sicherheitslücke im mit dem Internet Explorer verbundenen HTML-Hilfesysten bekannt, die den Aufruf und die Ausführung von beliebeigen Aktionen über solche Hillfedateien (mit der Endung .chm) ermöglicht hatte. Bald darauf wurde die Lücke von Microsoft mit einem Patch gefixt.
Wie Heise Security nun aber heute meldet, hat Arman Nayyeri eine neue Schwachstelle veröffentlicht, die diese Ausführung von Programmen wieder ermöglicht, in dem man lediglich eine andere Schreibweise bei der aufrufenden URL verwendet. Dies soll auch möglich sein, wenn der Benutzer sämtliche Patches installiert hat. Microsoft hat sich bislang nicht dazu geäussert. Unabhängig davon hat man aber bekannt gegeben, dass am 14. Januar wieder eine Serie neuer Patches veröffentlich werden.
Im dazugehörigen News-Artikel bei Heise Security kann man sich genauer über diese Sicherheitslücke informieren. Und im c't-Browsercheck kann man das Problem gleich ganz ungefährlich am eigenen Browser ausprobieren.
Möge das neue Jahr weniger Sicherheitsprobleme mit sich bringen ...
Diesen Artikel bookmarken oder senden an ...
