Sicherheitslücke durch animierte Mauszeiger

Wie mittlerweile bestätigt wurde, existiert in allen Windows Versionen ab Windows 2000 eine Sicherheitslücke, die es Angreifern ermöglicht, durch manipulierte .ani-Dateien, die eigentlich ein Dateiformat für animierte Mauszeigers sind, schädlichen Code auf dem Rechner auszuführen.

Der Code kann durch präparierte Webseiten sowie E-Mail-Anhänge eingeschleust werden, heißt es bei Microsoft. Das Blockieren der typischerweise für animierte Mauszeiger verwendeten Dateinamenerweiterung .ani stellt laut Microsoft keinen wirksamen Workaround dar, da sich die Sicherheitslücke auch unter Verwendung anderer Dateinamenerweiterungen ausnutzen lasse:

„Upon viewing a web page, previewing or reading a specially crafted message, or opening a specially crafted email attachment the attacker could cause the affected system to execute code. While animated cursors typically are associated with the .ani file extension, a successful attack is not constrained by this file type.“

Microsoft

Bei Microsoft arbeite man bereits seit längeren an einem Patch, der diese Sicherheitslücke schließen soll. Ursprünglich sollte er zusammen mit weiteren Updates am 10. April erscheinen, in Anbetracht der Dringlichkeit der Sicherheitslücke – McAfee habe bereits mehrere Webseiten gezählt, die sich dieses Schlupfloch zu Nutze machen – werde man das Update jedoch am morgigen Dienstag bereitstellen. Es könne dann manuell oder via automatischem Windows-Update eingespielt werden.