Proof of Concept: Manipulierte Website kapert ungepatchte Windows-PC
Eine Sicherheitslücke in Windows Shell ermöglicht es Angreifern aus der Ferne Windows 10-PC zu kapern. Wie das funktioniert zeigt ein Proof-of-Concept des Entdeckers der Schwachstelle. Microsoft stellt mit dem Oktober Patchday bereits einen Fix bereit.
Nachdem Microsoft die Lücke nun geschlossen hat, hat der Sicherheitsforscher Abdulrahman Al-Qabandi in seinem Blog die Schwachstelle und ihre Ausnutzung erläutert (via Bleeping Computer). Microsoft hatte die Sicherheitsbedrohung zwar nur als "Mittel" eingestuft, sie kann aber vor allem eher unbedarfte Nutzer in eine Falle locken. Wer dagegen bereits die in dieser Woche veröffentlichten Oktober Patches für Windows 10 installiert hat, ist bereits auf der sicheren Seite.
Angreifer können ungepatchte Windows 10 PC durch eine Sicherheitslücke in Windows Shell übernehmen, ein Update steht bereit
Der Besuch einer manipulierten Webseite, auf der der Nutzer zu einer Aktion die das Bestätigen der Enter-Taste erfordert, wie zum Beispiel dem Klicken eines Buttons aufgefordert wird, startet die Ausführung des Exploits.
Normalerweise sind die Codes, die solche Angriffe ermöglichen sehr komplex. In diesem Fall ist es aber laut Al-Qabandi anders. Der Proof of Concept benötigt nur etwas HTML und JavaScript und kann so auf eigentlichen jeder beliebigen Webseite zum Einsatz kommen. Daher kann er auch potenziell einer größeren Anzahl von Anwendern gefährlich werden, wenn die Systeme nicht gepatcht sind.
Download Windows 10: Kumulativer Patch für das Frühlings-Update Download Windows 10 Update-Assistent Siehe auch:
Angreifer können ungepatchte Windows 10 PC durch eine Sicherheitslücke in Windows Shell übernehmen, ein Update steht bereit
Schwachstelle in Windows Shell
In der Erläuterung zum Patch hieß es, die Sicherheitslücke (CVE-2018-8495) ermögliche die Ausführung von Remote-Code, wenn Windows Shell unsachgemäß mit URIs umgeht. Damit kann ein Angreifer die gleichen Benutzerrechte wie der aktuelle Benutzer erhalten.Wichtige Updates
Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer die Kontrolle über ein betroffenes System übernehmen, Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.Der Besuch einer manipulierten Webseite, auf der der Nutzer zu einer Aktion die das Bestätigen der Enter-Taste erfordert, wie zum Beispiel dem Klicken eines Buttons aufgefordert wird, startet die Ausführung des Exploits.
Normalerweise sind die Codes, die solche Angriffe ermöglichen sehr komplex. In diesem Fall ist es aber laut Al-Qabandi anders. Der Proof of Concept benötigt nur etwas HTML und JavaScript und kann so auf eigentlichen jeder beliebigen Webseite zum Einsatz kommen. Daher kann er auch potenziell einer größeren Anzahl von Anwendern gefährlich werden, wenn die Systeme nicht gepatcht sind.
Download Windows 10: Kumulativer Patch für das Frühlings-Update Download Windows 10 Update-Assistent Siehe auch:
Thema:
Windows 10 im Preisvergleich:
Proc-alleni 
Lizenzguru.de 
IT-Hardpulse 
Mysoftware Beliebte Windows 10 Downloads
Windows 10 Videos
-
Xgimi Halo+ New: Beamer bringt nach Update Netflix-Support mit
-
Windows 10: Nervige Werbung für Microsoft-Dienste abschalten
-
Xgimi Halo+: Toller Mobile-Beamer wurde noch weiter entwickelt
-
Windows 10: So kann man blockierte Dateien mit Bordmitteln löschen
-
Der schnelle Überblick: So gibt's das Windows 10 Mai 2021 Update
HIGHLIGHT
Beiträge aus dem Forum
Weiterführende Links
Beliebte Windows 10 FAQ Einträge
Beliebt im Preisvergleich
- Windows & Sonstige:
Neue Nachrichten
- Google Earth: Flugsimulator jetzt kostenlos im Browser nutzbar
- iPhone Fold Ultra im Hands-on-Video: Alle Details im Überblick
- Tesla-Autopilot: Fahrer hebeln Sicherheitssystem mit 8-€-Gadget aus
- Spiele bis zu 95 % schneller laden: Riesiger Boost für AMD-GPUs ist da
- Nur heute: Media Markt und Saturn mit genialen Wochenendknallern
- Windows Recovery: Microsoft startet neue Updates für Windows 11 & 10
- Windows 11: Juni-Patchday sorgt für BSODs und Datei-Explorer-Bug
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen