Mindestens drei überfällige Windows-Patches
Die Sicherheitsfirma eEye Digital Security hat nach eigenen Angaben bereits vor Monaten Details zu drei schwerwiegenden Windows-Sicherheitslücken an Microsoft gemeldet.
Die Sicherheitsfirma eEye Digital Security hat eine Seite mit Angaben zu derzeit noch offenen Sicherheitslücken veröffentlicht, von denen eEye drei Windows-Probleme mit dem Vermerk Severity: High versah. Über zwei dieser kritischen Windows-Lücken habe man Informationen vor über einem halben Jahr an Microsoft weitergeleitet. Die Probleme betreffen laut eEye Basisfunktionen von Windows NT/2000/XP und auch Windows 2003 Server; sie lassen sich nach Angaben der Firma so ausnutzen, dass ein Angreifer übers Netz Code ausführen kann. Eine dritte -- vor fünf Monaten bei Microsoft gemeldete Lücke -- stuft eEye ebenfalls als kritisch ein; sie betrifft nur Windows 2000 und XP. Weitere Details zur Natur der Schwachstellen gibt eEye derzeit noch nicht preis.
Microsoft bestätigte gegenüber heise Security, dass man die Seite und die dort aufgeführten Probleme kenne. Sie würden derzeit untersucht, es sei aber bereits klar, dass zumindest Anlass zur Besorgnis bestehe. Auf einen Erscheinungstermin für Patches wollte sich Microsoft jedoch noch nicht festlegen.
Auf der eEye-Seite werden auch offene Sicherheitsprobleme in Produkten anderer Hersteller, unter anderem von Symantec und ISS, aufgelistet, bei denen die Sicherheitsexperten aber Patches noch nicht als überfällig bezeichnen. Zu diesen Sicherheitsproblemen liegen heise Security noch keine Stellungnahmen der Hersteller vor. (ju)