Schwere Sicherheitslücke in etlichen Microsoft-Produkten
Das Sicherheitsleck in der Datenbankfunktion Microsoft Data Access Components (MDAC) der Versionen 2.5, 2.6 und 2.7 erlaubt es einem Angreifer, auf eine Anfrage an einen SQL-Server mit einem präparierten Datenpaket zu antworten und so auf dem betreffenden System einen Buffer Overflow auszulösen. Das versetzt einen Angreifer in die Lage, beliebigen Programmcode auf dem System zu starten, um so eine weitreichende Kontrolle über das System zu erlangen. Dabei erhält eine Attacke die gleichen Rechte wie die Applikation, welche die Datenbankanfrage gestellt hat. Nach Herstellerangaben soll die aktuelle MDAC-Version 2.8 nicht von dem Problem betroffen sein.
Über die MDAC-Funktion wickeln zahlreiche Microsoft-Produkte Datenbankabfragen ab, die allesamt von der Sicherheitslücke betroffen sind: So enthalten Windows Millennium Edition, 2000 und XP, Office 2000 ab dem Service Release 1, der SQL-Server 7.0 ab dem Service Pack 2 sowie der SQL-Server 2000, Visual Studio .NET und schließlich der Internet Explorer die MDAC-Komponente. Wer eines dieser Produkte einsetzt, sollte den von Microsoft bereitgestellten Patch umgehend installieren, um das Sicherheitsleck zu schließen. Alternativ lässt sich die MDAC-Funktion nachträglich installieren, so dass auch hier nicht gelistete Systeme von dem Problem betroffen sein können.
Microsoft bietet ab sofort einen Patch für die MDAC-Versionen 2.5, 2.6 sowie 2.7 zum Download(öffnet im neuen Fenster) an, welche das Sicherheitsleck beseitigen soll.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.