Kritisk feil i Windows 2000

En sårbarhet i en ActiveX-kontroll i Windows 2000s hjelpefiler, gjør det mulig for en datasnok å kjøre kode på enhver Win2K-maskin. Andre Windows-versjoner kan også være i risikosonen.

Det er en feil i Windows 2000, og sannsynligvis også i andre Windows-versjoner, som XP. Feilen heter Winhlp32.exe Remote BufferOverrun, og kan gi en datasnok full kontroll over din datamaskin.

Mark Litchfield fra Next Generation Insight Security Research Team har offenliggjort detaljert informasjon og full exploitkode til en alvorlig sårbarhet, som befinner seg i alle versjoner af Microsoft Windows 2000 og sannsynligvis andre utgaver av Microsoft Windows operativsystem, skriver den danske sikkerhetsanalytikeren Peter Kruse. Sårbarheten er en såkalt bufferoverrun, som kan lede en angriper til å kjøre kode automatisk på et Windows 2000 system, og dette uten at brukeren er vet om det eller trenger å gjøre noe.

Sårbarheten befinner sig i en komponent som anvendes av HTML-hjelpen i Windows 2000. HTML-hjelp, under windows 2000, skjer via ActiveX kontrollen HHCtrl.ocx, som gir Win2K-brukere rask adgang til hjelp, underliggende innholdsfortegnelse, pop-ups og andre features, som hurtig kan gi brukeren overblikk over et emne man søker hjelp til å finne ut av. HHCtrl.ocx vil kjøre i HTML Help View, eller i hvilken som helst nettleser som støtter ActiveX, skriver Kruse i en pressemelding.

Nå finnes det heldigvis en løsning på problemene - Service Pack 3 til Win 2000 er lagt ut, og den løser alle de problemene Winhlp-sårbarheten kunne ha ført til i Win2K.

Et annet alternativ er å endre sikkerhetsinnstillingene i for eksempel Internet Explorer eller andre nettlesere til "Høy", for å hindre ActiveX-komponenter å kjøre uten godkjenning.

Det er ikke nok å ha sikkerhetsinnstillingene på "Medium" og skru av ActiveX, skriver Peter Kruse.

Atter en mulighet er å slette filen Winhlp32.exe, men da får man ikke løpende hjelp når man trykker F1. Dessuten, vil nok mange Linux-nerder innvende, går det an å slette hele Windows 2000 og installere Linux istedet. Men den diskusjonen hører hjemme i debattforumet

Til toppen