Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-926

[MS/Windows XP] Schwachstelle im Windows XP Hilfe-System
(2002-10-17 12:14:36.280752+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/08/msg00224.html

Das Hilfe- und Supportcenter von Windows XP weist eine Schwachstelle auf, wodurch beispielsweise arglistige Webseiten beliebige Dateien löschen können.

Betroffene Systeme

  • Microsoft Windows XP Home
  • Microsoft Windows XP Professional

Einfallstor
Arglistige Webseite, HTML-E-Mail oder Newsartikel

Auswirkung
Löschen beliebiger Dateien sowie möglicherweise Ausführung beliebigen Programmcodes mit den Privilegien des Anwenders.

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Das Hilfe- und Supportcenter von Windows XP ist die Nachfolge des Windows-Hilfe-Systems.

Beschreibung
Durch eine Schwachstelle im Hilfe- und Supportcenter-System von Windows XP können arglistige Webseiten, HTML-E-Mails oder Newsartikel beliebige Dateien löschen und möglicherweise beliebigen Programmcode ausführen. Das Hilfe- und Supportcenter kann dazu über das "hcp:"-Protokoll mittels eines URL aufgerufen werden. Wird beispielsweise der URL hcp://system/DFS/uplddrvinfo.htm?file://c:\rus-cert.txt als URL in einem Browser aufgerufen, so wird das Hilfe- und Supportcenter gestartet und beim Beenden die Datei c:\rus-cert.txt gelöscht.

Sollte unbeabsichtigt das "Hilfe- und Supportcenter"-Fenster erscheinen, so sollten Sie den Prozess HelpCtr.exe im Taskmanager beenden, ohne zuvor das "Hilfe- und Supportcenter"-Fenster zu schliessen. So können Sie u.U. verhindern, daß böswillige Funktionen ausgeführt werden (im obigen Beispiel wird die Datei c:\rus-cert.txt durch das harte Beenden des HelpCtr.exe-Prozesses nicht gelöscht).

Workaround
Da das hcp-Protokoll normalerweise nicht benötigt wird, sollte es durch eine Änderung in der Registry deaktiviert werden:

  • Öffnen Sie den Registry Editor (regedit.exe)
  • Wählen Sie HKEY_CLASSES_ROOT\HCP\shell\open\command aus und entfernen den Standardwert "%windir%\PCHealth\HelpCtr\Binaries\HelpCtr.exe" -url "%1"".
Alternativ können Sie auch die Zugriffsrechte auf die Datei %windir%\PCHealth\HelpCtr\Binaries\HelpCtr.exe restriktiv gestalten, damit Benutzer selbige nicht mehr Ausführen können.

Gegenmaßnahmen
Der Patch ist Bestandteil des Windows XP SP1, seit dem 16.10.2002 ist ein selbständiger Patch (Q328940) verfügbar.

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

  • V.1.0 (2002-08-19)
  • V.2.0 (2002-10-17) Patch verfügbar, CAN-2002-0868 hinzugefügt

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.