Hersteller veröffentlicht außerplanmäßiges Update für kritische Sicherheitslücke
Windows: Microsoft schließt Sicherheitslücke in Verknüpfungsdateien
Microsoft hat nun einen Patch für eine Mitte Juli bekanntgewordene, kritische Sicherheitslücke veröffentlicht. In den bisherigen Versionen der Windows-Betriebssysteme wurden die Symbole von Verknüpfungsdateien mit der Endung ".lnk" nur unzureichend überprüft. Dadurch könnten Angreifer mit einer präparierten Verknüpfung in das System eindringen und beliebige Programme ausführen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und weitere Stellen hatten Nutzer öffentlich vor dem Problem gewarnt. Bislang war die Sicherheitslücke vornehmlich für Angriffe im Unternehmensumfeld ausgenutzt worden. Das BSI erwartet aber durch die Veröffentlichung, dass die Sicherheitslücke jetzt auch für Angriffe auf private Rechner genutzt werden wird.
Patches für alle unterstützten Windows-Versionen
Es wird daher dringend empfohlen den von Microsoft veröffentlichten Patch zu installieren. Verfügbar istdieser für Windows XP (mit installierten Service Pack 3), Windows Vista, Windows 7 sowie die Server-Varianten Windows Server 2003 und Windows Server 2008. Je nach Betriebssystem ist das Update zwischen 2,9 und 17,1 Megabyte groß. Wer eine ältere Version von Windows besitzt, für die es keinen Patch mehr geben wird, kann sich alternativ damit schützen, dass er in der Registry die Anzeige der Verknüpfungs-Symbole ausblendet.
Der Patch für die LNK-Sicherheitslücke erscheint außerplanmäßig. Eigentlich veröffentlicht Microsoft seit 2003 seine Software-Aktualisierungen immer am zweiten Dienstag eines jeden Monats (Patch-Day). Patch-Day wäre also eigentlich erst am 10. August. Wahrscheinlich hat der öffentliche Druck Microsoft jedoch zu diesem außerplanmäßigen Update veranlasst.