Explorer stürzt bei zu langen Verzeichnisnamen ab

SicherheitSicherheitsmanagement

Internet Explorer und Windows Explorer haben Probleme beim Zugriff auf
Netzwerkressourcen mit überlangem Namen. Ein Angreifer kann über die
Schwachstelle auch Code ausführen lassen.

Das Leck sollte eigentlich mit SP1 für Windows XP und SP4 für Windows
2000 beseitigt sein, laut einem Beitrag auf der Mailing-Liste Full
Disclosure ist es aber noch vorhanden. So lassen sich Internet Explorer
und Windows Explorer durch überlange Verzeichnisnamen zum Absturz
bringen. Dazu müssen diese länger als 300 Zeichen sein, was vom
File-Server Samba im Gegensatz zu Windows unterstützt wird. Durch den
Pufferüberlauf kann der Angreifer Code ausführen lassen.

Neben
Windows XP und 2000 sind auch Windows 98 und Me verwundbar. Als
vorläufige Problemlösung wird auf Full Disclosure vorgeschlagen, den
“Client für Microsoft-Netzwerke” zu deaktivieren, was allerdings den
gemeinsamen Dateizugriff im LAN verhindert. (dd)

Weitere Infos:

Beitrag auf Full Disclosure

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen