Hintertür in Microsofts Web-Server

Einem Bericht des Wall Street Journal zufolge hat Microsoft zugegeben, dass in bestimmte Versionen ihrer Internet-Server-Software ein geheimes Universalpasswort eingebaut ist. Damit könnten sich Unbefugte vollständigen Zugriff auf Webserver erschleichen und dort beispielsweise Kunden- und Kreditkartendaten ausspionieren oder Inhalte verändern.

Die Sicherheitslücke wurde anscheinend von einigen noch nicht ermittelten Microsoft-Mitarbeitern auf eigene Faust eingebaut – absolut entgegen den Firmenprinzipien, wie der Manager des Microsoft Sicherheitscenters, Steve Lippner, gegenüber dem Wall Street Journal betonte. Solches Verhalten stelle einen Kündigungsgrund dar.

Betroffen ist laut Microsoft zumindest der Internet Information Server (IIS) mit Frontpage-98-Erweiterungen – Versionen unter Windows 2000 oder mit Frontpage 2000 sollen hingegen sicher sein. Ursprünglich soll ein europäischer Mitarbeiter der Firma ClientLogic die Sicherheitslücke entdeckt haben. Dieser habe dann den Untergrund-Sicherheitsspezialisten Rain Forest Puppy (RFP) darauf hingewiesen. Bislang informieren allerdings weder die Webseiten von Microsoft noch von RFP über das Sicherheitsloch. Auch in den einschlägigen Sicherheitsmailinglisten sind noch keine Hinweise oder Analysen aufgetaucht. (nl)