Drei neue Sicherheitslücken in Microsoft-Produkten entdeckt

Mehrere Versionen des Internet Explorer und SQL-Server von Problemen betroffen

Microsoft selbst informierte jetzt wieder über drei Sicherheitslücken in Redmondscher Software. Zwei Sicherheitslecks in zahlreichen Internet-Explorer-Versionen erlauben das Auslesen lokaler Dateien, während eine weitere Sicherheitslücke im SQL-Server gefunden wurde. Für alle Probleme bietet Microsoft bereits passende Patches zum Download an.

Artikel veröffentlicht am ,

Mindestens in den Versionen 5.01, 5.5 und 6.0 des Internet Explorer sorgt eine Sicherheitslücke innerhalb von VBScript dafür, dass lokale Dateien von Angreifern ausgelesen werden können. Dazu greift der Angreifer auf Daten in einem anderen Frame zu, was eigentlich nicht möglich sein sollte. Immerhin können so nur Dateien gelesen werden, die in einem Browser-Fenster geöffnet werden können. Ob diese Sicherheitslücken auch in älteren Versionen des Internet Explorer bestehen, hat Microsoft nicht überprüft und wird dafür auch keinerlei Patches anbieten, weil der Support dafür von Microsoft schon lange beendet worden ist. Ein Update zum Stopfen der Sicherheitslücke bietet Microsoft über die Windows-Update-Funktion an.

Stellenmarkt
  1. IT-Projektleiter (w/m/d) in der Logistik
    SSI SCHÄFER IT Solutions GmbH, Dortmund
  2. Test Automatisierer (m/w/d) IT
    M-net Telekommunikations GmbH, München
Detailsuche

Eine weitere Sicherheitslücke steckt im XML Core Service (MSXML), der von Windows XP, Internet Explorer 6.0 und dem SQL-Server 2000 verwendet wird. Über das XMLHTTP ActiveX-Control kann ein Angreifer Dateien auf dem lokalen System einsehen, indem er eine XML HTTP GET-Anfrage versendet, die eine lokale Datei betrifft. Durch das Sicherheitsloch umgeht ein Angreifer die Sicherheitseinstellungen im Internet Explorer und kann so fremde Daten einsehen; allerdings müssen dabei Pfad und Dateinamen bekannt sein. Microsoft stellt ein Update über die Windows-Update-Funktion bereit.

Die dritte Sicherheitslücke betrifft die "Remote Data Source Function" der SQL-Server in den Versionen 7.0 und 2000. Über diese Funktion können OLE-Verbindungen zwischen einzelnen Datenbanken erstellt werden, wobei die Sicherheitslücke einen Buffer Overrun erzeugen kann, was Angreifer dazu missbrauchen können, um sich Zugriff auf die Datenbank zu verschaffen. Für beide Versionen des SQL-Server stehen bereits entsprechende Patches bereit.

Für die Sicherheitslücken im Internet Explorer bietet Microsoft passende Patches kostenlos zum Download an, die man über die Windows-Update-Funktion erhält. Auch gegen den Buffer Overrun in den beiden Versionen des SQL-Server stellt Microsoft passende Patches zum Download bereit. Dabei gibt es ein Update für den SQL-Server 7.0 und einen weiteren Bugfix für den SQL-Server 2000 kostenlos zum Download.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


autor 17. Apr 2002

MS hat untersagt Sicherheitslücken ohne Ihre Zustimmung zu veröffentlichen. Da sie den...

Holy 25. Feb 2002

Komischerweise hat MS selbst noch vor ein paar Wochen/Monaten allen Dritttestern und MS...

misterx 22. Feb 2002

tulac hat recht, selbsterkenntnis ist schliesslich der erste weg zur besserung. am rande...

Carsten 22. Feb 2002

stimmt und die wurden immer auf die gleiche Weise kommuniziert. Das tut Microsoft aber...

Tulac 22. Feb 2002

Es ist genauso _ungewöhnlich_ wie jede andere Software-Company solche Tätigkeiten...



Aktuell auf der Startseite von Golem.de
Waffensystem Spur
Menschen töten, so einfach wie Atmen

Soldaten müssen bald nicht mehr um ihr Leben fürchten. Wozu auch, wenn sie aus sicherer Entfernung Roboter in den Krieg schicken können.
Ein IMHO von Oliver Nickel

Waffensystem Spur: Menschen töten, so einfach wie Atmen
Artikel
  1. Wochenrückblick: Moderne Lösungen
    Wochenrückblick
    Moderne Lösungen

    Golem.de-Wochenrückblick Eine Anzeige gegen einen Programmierer und eine neue Switch: die Woche im Video.

  2. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

  3. OpenBSD, TSMC, Deathloop: Halbleiterwerk für Automotive-Chips in Japan bestätigt
    OpenBSD, TSMC, Deathloop
    Halbleiterwerk für Automotive-Chips in Japan bestätigt

    Sonst noch was? Was am 15. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bis 21% auf Logitech, bis 33% auf Digitus - Cyber Week • Crucial 16GB Kit 3600 69,99€ • Razer Huntsman Mini 79,99€ • Gaming-Möbel günstiger (u. a. DX Racer 1 Chair 201,20€) • Alternate-Deals (u. a. Razer Gaming-Maus 19,99€) • Gamesplanet Anniversary Sale Classic & Retro [Werbung]
    •  /