Das Problem ist, dass man mit Messages Applikationen, die unter anderen Usern laufen, auffordern kann, eigenen Code auszuführen.
Verschiedene Meldungen auf den SecurityFocus Mailing Listen meinen dazu, dass die Applikationen die Annahme der gefährlichen Messages durch setzen eines anderen Desktop Kontexts jederzeit verweigern können. Nur leider sind die wenigsten Programme so programmiert, das zu machen.
Im Prinzip müssen das ja vor allem Serverdienste machen, da die ja unter dem System-Konto laufen, und MS' Serverdienste seien im allgemeinen auch entsprechend sauber programmiert. Schön für diejenigen, die keine Fremdsoftware installiert haben.
Nun berichtet Heise heute, dass man mit der WM_TIMER Message eine Sprungadresse schicken kann, die dann zu einem definierten Zeitpunkt ausgeführt werden soll. Damit sollte jedem klar sein, wie krass das Problem ist, und wie es programmiert werden muss.
|