Original-URL des Artikels: https://www.golem.de/0401/29255.html    Veröffentlicht: 14.01.2004 09:58    Kurz-URL: https://glm.io/29255

Drei Sicherheits-Patches von Microsoft - keiner für den IE

Microsoft ignoriert Sicherheitsleck im Internet Explorer vom Dezember 2003

Microsoft veröffentlichte im Januar 2004 drei Security Bulletins, die verschiedene Sicherheitslecks in Microsoft-Produkten beheben sollen. Zwei der drei Sicherheitslücken werden von Microsoft als kritisch eingestuft. Unberücksichtigt blieb weiterhin das bereits Mitte Dezember 2003 entdeckte Sicherheitsleck im Internet Explorer, welches die korrekte URL in der Adresszeile des Browsers verschleiert.

Ein von Microsoft als kritisch eingestuftes Sicherheitsloch befindet sich in den Microsoft Data Access Components, kurz MDAC, welche eine Reihe von Datenbankfunktionen für andere Applikationen zur Verfügung stellen und unter anderem Bestandteil von Windows 2000 und XP sind. So werden darüber Verbindungen zu einer Datenbank gesteuert sowie entsprechende Daten an einen Client übermittelt. Über eine spezielle MDAC-Komponente kann ein Angreifer einen Buffer Overflow auslösen und erlangt so die gleichen Zugriffsrechte auf ein System wie das Programm, von der die entsprechende Anfrage stammt. Für eine Attacke muss dazu im gleichen IP-Subnetz ein SQL-Server simuliert werden. Der aktuelle Patch ersetzt das Sicherheits-Update für die MDAC-Komponente vom August 2003.

Ein weiteres, ebenfalls von Microsoft als gefährlich eingestuftes Sicherheitsleck befindet sich im Internet Security and Acceleration Server 2000 sowie im Small Business Server 2000 und 2003. Das Sicherheitsloch steckt im H.323-Filter für den Internet Security and Acceleration Server 2000, worüber ein Angreifer einen Buffer Overflow in dem integrierten Firewall-Service auslösen kann. Darüber lässt sich Programmcode mit den Zugriffsrechten des Firewall-Service ausführen, womit ein Angreifer eine vollständige Kontrolle über das betreffende System erlangen kann.

Das dritte Sicherheitsleck im Exchange Server 2004 stuft Microsoft als moderat ein. Über das Sicherheitsloch kann ein Angreifer per Outlook Web Access Zugang zu einem Exchange-Postfach erlangen, wenn das Postfach auf dem gleichen Back-End-Mailbox-Server liegt und außerdem das Postfach von dem autorisierten Nutzer zuvor genutzt wurde. Somit muss ein Angreifer auf dem Exchange-Server angemeldet sein und das betreffende Postfach kann nicht vorher bestimmt werden, so dass es vom Zufall abhängt, zu welchem Postfach der Angreifer theoretisch Zugang erlangen könnte.

Microsoft bietet Patches über die betreffenden Security Bulletins an; alternativ soll auch die Update-Funktion des Betriebssystems verwendet werden können. In den Security Bulletins finden sich Patches für die Microsoft Data Access Components (MDAC) der Versionen 2.5, 2.6, 2.7 und 2.8 in Windows 2000, SQL-Server 2000, Windows XP und Windows Server 2003 für die jeweiligen Plattformen. Auch für den Internet Security and Acceleration Server 2000, den Small Business Server 2000 und 2003 stehen passende Patches bereit, was gleichfalls für den Exchange Server 2003 gilt.

Im Oktober 2003 gab Microsoft eine neue Sicherheitsstrategie bekannt, wonach Sicherheits-Patches für Software nur noch einmal im Monat erscheinen und nur bei kritischen Fällen Patches außerhalb dieses Intervalls veröffentlicht werden. Damit reagierte Microsoft auf die starke Verbreitung des Blaster-Wurms und wollte damit die Sicherheit der Produkte erhöhen. Microsoft hält sich seit dieser Ankündigung daran, Security Bulletins nur noch einmal im Monat - dann meist im Paket - zu veröffentlichen. Allerdings scheint Microsoft von dem Vorhaben abgerückt zu sein, kritische Sicherheitslöcher unabhängig der monatlichen Intervalle zu bereinigen, da seitdem viele von Microsoft als kritisch eingestufte Sicherheitslecks nur an dem monatlichen "Patch-Day" erschienen sind. Für Unverständnis sorgt die Tatsache, dass das als kritisch eingestufte Sicherheitsloch im Internet Explorer vom Dezember 2003 weiterhin offen bleibt, da bislang kein Patch erschienen ist.  (ip)


Verwandte Artikel:
Schwere Sicherheitslücke in etlichen Microsoft-Produkten   
(21.08.2003, https://glm.io/27041 )

Links zum Artikel:
Microsoft: http://www.microsoft.de
Microsoft (.com): http://www.microsoft.com
Microsoft Security Bulletin MS04-001 (.com): http://www.microsoft.com/technet/security/bulletin/MS04-001.asp
Microsoft Security Bulletin MS04-002 (.com): http://www.microsoft.com/technet/security/bulletin/MS04-002.asp
Microsoft Security Bulletin MS04-003 (.com): http://www.microsoft.com/technet/security/bulletin/MS04-003.asp

© 1997–2019 Golem.de, https://www.golem.de/