Sicherheitsloch in Frontpage Server Extensions
Denial-of-Service-Attacke oder Programmcode-Ausführung möglich
Wie Microsoft in einem aktuellen Security Bulletin mitteilt, enthalten die Frontpage Server Extensions eine kritische Sicherheitslücke, die es Angreifern ermöglicht, je nach verwendeter Software-Version entweder eine Denial-of-Service-(DoS-)Attacke zu starten oder beliebigen Programmcode auszuführen. Für beide Sicherheitslecks stehen bereits deutschsprachige Patches zum Download bereit.
Die Sicherheitslücke steckt im SmartHTML Interpreter (shtml.dll), der Bestandteil der FrontPage Server Extensions ist und sich um Web-Formulare und andere durch Frontpage erzeugte dynamische Inhalte kümmert. Beim gezielten Abrufen von Web-Dateien durch ganz bestimmte Befehle kann ein Angreifer diese Sicherheitslücke ausnutzen, wobei das Resultat je nach verwendeter Software-Version unterschiedlich ist.
Unter den FrontPage Server Extensions 2000 führt solch ein Aufruf dazu, dass der Interpreter die meiste verfügbare oder gesamte Prozessorzeit verschlingt, bis der Webservice neu gestartet wird. Ein Angreifer kann so eine Denial-of-Service-(DoS-)Attacke starten. Anders verhalten sich die FrontPage Server Extensions 2002, bei denen ein Buffer Overrun auftritt, so dass der Angreifer beliebigen Programmcode ausführen kann.
Microsoft bietet sogar bereits passende, deutschsprachige Patches zum Download an. Während für die FrontPage Server Extensions 2002 ein zentraler Patch bereitsteht, gibt es für die FrontPage Server Extension 2000 je nach verwendetem Betriebssystem verschiedene Versionen. So existieren getrennte Updates für Windows NT 4.0, Windows 2000 und Windows XP. Das zugehörige Security Bulletin erwähnt allerdings derzeit nur die englischsprachigen Patches und verweist auf das Windows-Update.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
