• IT-Karriere:
  • Services:

Sicherheitsloch in Frontpage Server Extensions

Denial-of-Service-Attacke oder Programmcode-Ausführung möglich

Wie Microsoft in einem aktuellen Security Bulletin mitteilt, enthalten die Frontpage Server Extensions eine kritische Sicherheitslücke, die es Angreifern ermöglicht, je nach verwendeter Software-Version entweder eine Denial-of-Service-(DoS-)Attacke zu starten oder beliebigen Programmcode auszuführen. Für beide Sicherheitslecks stehen bereits deutschsprachige Patches zum Download bereit.

Artikel veröffentlicht am ,

Die Sicherheitslücke steckt im SmartHTML Interpreter (shtml.dll), der Bestandteil der FrontPage Server Extensions ist und sich um Web-Formulare und andere durch Frontpage erzeugte dynamische Inhalte kümmert. Beim gezielten Abrufen von Web-Dateien durch ganz bestimmte Befehle kann ein Angreifer diese Sicherheitslücke ausnutzen, wobei das Resultat je nach verwendeter Software-Version unterschiedlich ist.

Stellenmarkt
  1. MediaNet GmbH Netzwerk- und Applikations-Service, Freiburg im Breisgau
  2. CURRENTA GmbH & Co. OHG, Leverkusen

Unter den FrontPage Server Extensions 2000 führt solch ein Aufruf dazu, dass der Interpreter die meiste verfügbare oder gesamte Prozessorzeit verschlingt, bis der Webservice neu gestartet wird. Ein Angreifer kann so eine Denial-of-Service-(DoS-)Attacke starten. Anders verhalten sich die FrontPage Server Extensions 2002, bei denen ein Buffer Overrun auftritt, so dass der Angreifer beliebigen Programmcode ausführen kann.

Microsoft bietet sogar bereits passende, deutschsprachige Patches zum Download an. Während für die FrontPage Server Extensions 2002 ein zentraler Patch bereitsteht, gibt es für die FrontPage Server Extension 2000 je nach verwendetem Betriebssystem verschiedene Versionen. So existieren getrennte Updates für Windows NT 4.0, Windows 2000 und Windows XP. Das zugehörige Security Bulletin erwähnt allerdings derzeit nur die englischsprachigen Patches und verweist auf das Windows-Update.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 304€ (Bestpreis!)
  2. 274,49€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)
  3. 689€ (mit Rabattcode "PRIMA10" - Bestpreis!)
  4. 749€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)

Folgen Sie uns
       


Google Pixel 4a - Test

Das Pixel 4a ist Googles neues Mittelklasse-Smartphone: Es kostet 350 Euro und hat unter anderem die gleiche Hauptkamera wie das Pixel 4.

Google Pixel 4a - Test Video aufrufen
The Secret of Monkey Island: Ich bin ein übelriechender, groggurgelnder Pirat!
The Secret of Monkey Island
"Ich bin ein übelriechender, groggurgelnder Pirat!"

Das wunderbare The Secret of Monkey Island feiert seinen 30. Geburtstag. Golem.de hat einen neuen Durchgang gewagt - und wüst geschimpft.
Von Benedikt Plass-Fleßenkämper


    Pinephone im Test: Das etwas pineliche Linux-Phone für Bastler
    Pinephone im Test
    Das etwas pineliche Linux-Phone für Bastler

    Mit dem Pinephone gibt es endlich wieder ein richtiges Linux-Telefon, samt freier Treiber und ohne Android. Das Projekt scheitert aber leider noch an der Realität.
    Ein Test von Sebastian Grüner

    1. Linux Mehr Multi-Touch-Support in Elementary OS 6
    2. Kernel Die Neuerungen im kommenden Linux 5.9
    3. VA-API Firefox bringt Linux-Hardwarebeschleunigung auch für X11

    Vivo X51 im Test: Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera
    Vivo X51 im Test
    Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera

    Das Vivo X51 hat eine gute Kamera mit starker Bildstabilisierung und eine vorbildlich zurückhaltende Android-Oberfläche. Der Startpreis in Deutschland könnte aber eine Herausforderung für den Hersteller sein.
    Ein Test von Tobias Költzsch

    1. Software-Entwicklung Google veröffentlicht Android Studio 4.1
    2. Jetpack Compose Android bekommt neues UI-Framework
    3. Google Android bekommt lokale Sharing-Funktion

      •  /