Drei neue Sicherheitslücken in Microsoft-Produkten entdeckt

Mehrere Versionen des Internet Explorer und SQL-Server von Problemen betroffen

Microsoft selbst informierte jetzt wieder über drei Sicherheitslücken in Redmondscher Software. Zwei Sicherheitslecks in zahlreichen Internet-Explorer-Versionen erlauben das Auslesen lokaler Dateien, während eine weitere Sicherheitslücke im SQL-Server gefunden wurde. Für alle Probleme bietet Microsoft bereits passende Patches zum Download an.

Artikel veröffentlicht am ,

Mindestens in den Versionen 5.01, 5.5 und 6.0 des Internet Explorer sorgt eine Sicherheitslücke innerhalb von VBScript dafür, dass lokale Dateien von Angreifern ausgelesen werden können. Dazu greift der Angreifer auf Daten in einem anderen Frame zu, was eigentlich nicht möglich sein sollte. Immerhin können so nur Dateien gelesen werden, die in einem Browser-Fenster geöffnet werden können. Ob diese Sicherheitslücken auch in älteren Versionen des Internet Explorer bestehen, hat Microsoft nicht überprüft und wird dafür auch keinerlei Patches anbieten, weil der Support dafür von Microsoft schon lange beendet worden ist. Ein Update zum Stopfen der Sicherheitslücke bietet Microsoft über die Windows-Update-Funktion an.

Eine weitere Sicherheitslücke steckt im XML Core Service (MSXML), der von Windows XP, Internet Explorer 6.0 und dem SQL-Server 2000 verwendet wird. Über das XMLHTTP ActiveX-Control kann ein Angreifer Dateien auf dem lokalen System einsehen, indem er eine XML HTTP GET-Anfrage versendet, die eine lokale Datei betrifft. Durch das Sicherheitsloch umgeht ein Angreifer die Sicherheitseinstellungen im Internet Explorer und kann so fremde Daten einsehen; allerdings müssen dabei Pfad und Dateinamen bekannt sein. Microsoft stellt ein Update über die Windows-Update-Funktion bereit.

Die dritte Sicherheitslücke betrifft die "Remote Data Source Function" der SQL-Server in den Versionen 7.0 und 2000. Über diese Funktion können OLE-Verbindungen zwischen einzelnen Datenbanken erstellt werden, wobei die Sicherheitslücke einen Buffer Overrun erzeugen kann, was Angreifer dazu missbrauchen können, um sich Zugriff auf die Datenbank zu verschaffen. Für beide Versionen des SQL-Server stehen bereits entsprechende Patches bereit.

Für die Sicherheitslücken im Internet Explorer bietet Microsoft passende Patches kostenlos zum Download an, die man über die Windows-Update-Funktion erhält. Auch gegen den Buffer Overrun in den beiden Versionen des SQL-Server stellt Microsoft passende Patches zum Download bereit. Dabei gibt es ein Update für den SQL-Server 7.0 und einen weiteren Bugfix für den SQL-Server 2000 kostenlos zum Download.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Meistgelesen
artikel-bild
Disney+, Netflix und Prime Video
Das goldene Streamingzeitalter wird zum silbernen
artikel-bild
Zbox Pico PI430AJ
Flotter Mini-PC mit Solid-State-Kühlung
artikel-bild
Kernfusion
US-Fusionslabor erreicht konsistent Zündungen
Kommentarübersicht
Richtiger ist...
autor 17. Apr 2002

MS hat untersagt Sicherheitslücken ohne Ihre Zustimmung zu veröffentlichen. Da sie den...

Seltsame Strategie...
Holy 25. Feb 2002

Komischerweise hat MS selbst noch vor ein paar Wochen/Monaten allen Dritttestern und MS...

Re: Drei neue Sicherheitslücken in Microsoft...
misterx 22. Feb 2002

tulac hat recht, selbsterkenntnis ist schliesslich der erste weg zur besserung. am rande...

Re: Drei neue Sicherheitslücken in Microsoft...
Carsten 22. Feb 2002

stimmt und die wurden immer auf die gleiche Weise kommuniziert. Das tut Microsoft aber...

Aktuell auf der Startseite von Golem.de
Whistleblower
Ehemaliger US-Konteradmiral äußert sich zu Außerirdischen

Wieder hat sich in den USA ein ehemals hochrangiger Militär und Beamter über Kontakte mit Aliens geäußert.

Whistleblower: Ehemaliger US-Konteradmiral äußert sich zu Außerirdischen
Artikel
  1. Schadstoffnorm 7: Neue Grenzwerte für Abrieb gelten auch für E-Autos
    Schadstoffnorm 7
    Neue Grenzwerte für Abrieb gelten auch für E-Autos

    Die neue Euronorm 7 legt nicht nur Grenzwerte für Bremsen- und Reifenabrieb fest, sondern auch Mindestanforderungen für Akkus.

  2. Ramjet: General Electric testet Hyperschalltriebwerk
    Ramjet
    General Electric testet Hyperschalltriebwerk

    Das Triebwerk soll Flüge mit Mach 5 ermöglichen.

  3. Elektroautos: Mercedes und Stellantis übernehmen komplette Umweltprämie
    Elektroautos
    Mercedes und Stellantis übernehmen komplette Umweltprämie

    Nach dem abrupten Aus der staatlichen Förderung springen erste Hersteller von Elektroautos ein.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Last-Minute-Angebote bei Amazon • Avatar & The Crew Motorfest bis -50% • Xbox Series X 399€ • Cherry MX Board 3.0 S 49,95€ • Crucial MX500 2 TB 110,90€ • AVM FRITZ!Box 7590 AX + FRITZ!DECT 500 219€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /