Microsoft warnt in einer Sicherheitswarnung vor einem Windows-Sicherheitsleck, worüber sich Schadcode einschleusen und ausführen lasse. Auch gebe es bereits konkreten Code der beschreibt, wie sich die Schwachstelle ausnutzen lässt.
Aufgetaucht
Auf der Sicherheitskonferenz "Power of Community" im Dezember hielten Moti und Xu Hao einen Vortrag, die Unterlagen dazu kursieren nun im Internet. Diese beinhalten einen Exploit für eine Windows-Sicherheitslücke bei der Darstellung von Thumbnails. Diese lasse sich lokal über den Windows Explorer oder via WebDAV ausnützen. Dafür müsse lediglich eine Datei mit passendem Vorschaubild angezeigt werden.
Warnung
Microsoft erklärt in einer Stellungnahme zur Thumbnail-Lücke, dass alle Windows-Betriebssystem mit Ausnahme von Windows 7 und Server 2008 R2 betroffen seien. Allerdings befindet sich mittlerweile auch ein Metasploit-Modul zur Erstellung passender Dateien im Netz.
Temporäre Lösung
Nutzern wird empfohlen bis zur Veröffentlichung eines entsprechenden Patches die Zugriffsrechte auf die Bilbiothek "shimgvw.dll" so zu setzen, dass keine Thumbnails mehr angezeigt würden. (red)