Neue Patches von Microsoft gegen kleine und große Sicherheitslöcher
Microsoft korrigiert einen Fehler im Windows Media Player 9 und ein Sicherheitsleck in den Windows Media Services unter Windows 2000.
Die in neuen Sicherheitsbulletins von Microsoft enthaltenen Patches MS03-021 und MS03-22 beheben Fehler im Windows Media Player und den Windows Media Services.
Vergleichsweise harmlos erscheint der Fehler im Windows Media Player: Durch ein fehlerhaftes ActiveX-Control im Media Player 9.0 kann ein Angreifer Zugriff auf die Media Library des Benutzers erhalten und dort Einträge löschen und verändern. Nach Angaben von Microsoft sind dadurch aber nicht die eigentlichen Media-Dateien bedroht, sondern nur die Meta-Daten für die Dateien in der Bibliothek. Zum Angriff auf das fehlerhafte Control reicht schon eine E-Mail im HTML-Format beziehungsweise eine E-Mail mit einem HTML-Dokument im Anhang aus. Der Windows Media Player 9.0 ist im Lieferumfang von Windows Server 2003 enthalten, Versionen für Windows 98(SE), ME, 2000 und XP stellt Microsoft auf seinen Websites bereit.
Das Sicherheitsloch in den Windows Media Services unter Windows 2000 ist weit schwerwiegender, bietet es doch einmal mehr die Möglichkeit, beliebigen Code auf dem System auszuführen. Ein Buffer Overflow in der für das Logging der Media Services zuständigen nsiislog.dll kann zum Einschleusen und Ausführen von beliebigem Code ausgenutzt werden. Ein ähnlicher Fehler in der gleichen Funktion wurde im vergangenen Mai zunächst als unkritisch eingestuft. Nach ersten Proof-of-Concept-Exploits erhöhte dann Microsoft die Severing Rate auf 'Important'.
Das entsprechende Sicherheitsbulletin MS03-019 enthält fast den gleichen Wortlaut wie das neue Bulletin MS03-022. Anhand des Schwachstellen-Kennzeichners gemäß CVE CAN-2003-0349 läßt sich sehen, dass Microsoft seit dem 28.5.2003 von dem neuen Fehler wusste. Offenbar wurde dieser beim Review des Codes zum Erstellen des ersten Patches entdeckt. Bei beiden Fehlern reicht ein spezieller HTTP-Request aus, um den Buffer Overflow zu provozieren. Betroffen sind durch den neuen Fehler laut Microsoft die Media Services 4.1 unter Windows 2000, standardmäßig wird der Dienst nicht mitinstalliert. (dab)
