Microsoft warnt vor Oracle-Lücken in Exchange und Sharepoint

Microsoft warnt, dass die Server-Produkte Exchange und Sharepoint unter Umständen von Sicherheitslücken betroffen sind, die Oracle in den eigenen Produkten im Rahmen des Critical Patch Updates letzte Woche beseitigt hat. Konkret nutzen die Produkte offenbar die Bibliotheken Oracle Outside In, die laut Oracle Sicherheitslücken enthalten.

Betroffen sind laut dem soeben veröffentlichten Microsoft Security Advisory (2737111) der Exchange Server 2007 und 2010 sowie der FAST Search Server 2010 für Sharepoint. Sharepoint selbst ist nur anfällig, sofern das "Advanced Filter Pack" aktiviert wurde. Als Workaround empfiehlt Microsoft vorläufig, diese Zusatzfunktion in Sharepoint abzuschalten. Exchange-Admins rät Microsoft, das Transkodieren von Attachments zu deaktivieren. Das führt allerdings unter Umständen dazu, dass die Vorschau für Dateianhänge im Web-Frontend OWA nicht mehr funktioniert. Ob und wann entsprechende Patches die Probleme an der Wurzel packen, verrät Microsoft wie üblich nicht: Man werde nach Abschluss der eigenen Untersuchungen "die geeigneten Maßnahmen ergreifen", heißt es gewohnt vage.

Microsoft äußert sich in keiner Weise dazu, wie man in dieser Angelegenheit mit dem Datenbank-Hersteller zusammenarbeitet; im Report ist nur eisig von "öffentlichen Berichten über Schwachstellen in Third-Party-Code" die Rede. In Kombination mit dem um eine ganze Woche verspäteten Microsoft-Advisory lässt das darauf schließen, dass Oracles Patches die Redmonder kalt erwischt haben. Die Feindschaft dieser zwei Firmen reicht Jahrzehnte zurück und ist fast schon legendär. Sie ist offenbar so tief verankert, dass man nicht einmal in Sicherheitsfragen zusammenarbeiten kann, um Kunden zu schützen. (ju)