Microsoft

Gopher ist wieder da. Das Protokoll macht seinem Namensgeber, der Flachland-Taschenratte (‘geomys bursarius’ für alle, die es ganz genau wissen wollen), alle Ehre, wie es da nach einem langen Winterschlaf plötzlich und unerwartet seine Schnauze aus der dunklen Erdspalte steckt. Im vorliegenden Fall allerdings liegt das nicht an der steigenden Intensität der Sonnenstrahlung, sondern vielmehr daran, dass eine Sicherheitslücke in der Microsoft-Implementierung von Gopher bekannt geworden ist.

Für diejenigen, die sich partout nicht an Gopher erinnern können: Es handelt sich dabei um ein TCP-basierendes Protokoll, das Such- und Zugriffsfunktionen für verteilte, hierarchisch strukturierte elektronische Dokumentenablagen realisiert. 1993 definiert, erlebte es eine kurze Blüte im damals noch recht exklusiven Internet, verlor aber spätestens seit der Erfindung von HTTP drei Jahre später rapide an Bedeutung. Nichtsdestotrotz war ein Gopher-Server lange Zeit Bestandteil von Microsofts IIS, und der IE verfügt heute noch über einen Gopher-Client.

Genau in diesem Client - ebenso wie in den Gopher-Modulen des Proxy Server 2.0 und des ISA - findet sich ein Stück Code mit oben erwähntem Sicherheitsleck. Schlimmstenfalls erlaubt es diese Lücke einem Angreifer, beliebigen Code auf den betroffenen Rechner zu platzieren und dort auszuführen. Für die beiden Serverprodukte hat Microsoft einen Hotfix veröffentlicht, für den IE gibt es bisher offiziell nur eine Bastellösung: Die Redmonder empfehlen hier, einen nicht existierenden Proxyserver für Gopher zu konfigurieren und das Protokoll somit quasi abzuschalten. Ein inoffizieller Patch ist unter www.pivx.com/gopher_smoker.html erhältlich (Q323889).

Auch HTR ist ein recht alter Hut, an den sich nur noch wenige erinnern. Microsoft führte diese HTML-basierende Scripttechnologie zusammen mit IIS 2.0 ein. Ähnlich wie Gopher verschwand HTR schnell wieder von der Bildfläche, in diesem Fall von ASP verdrängt. Damit nicht genug der Analogien: Auch in HTR existiert ein Sicherheitsloch, das einem Angreifer das Ausführen von bösartigem Code erlauben kann.

Es gibt zwar einen Hotfix für dieses Problem, wer seinen IIS aber ernsthaft administriert, sollte HTR komplett abschalten. In diesem Zusammenhang sei hier kurz auf das so genannte IIS Lockdown Tool hingewiesen, das derlei überflüssige Altlasten sucht und entfernt, wobei der Administrator nur den Verwendungszweck des Servers angeben muss. Das Lockdown Tool ist unter www.microsoft.com/technet/security/tools/locktool.asp erhältlich, der Hotfix auf den Download-Seiten von Microsoft (Q321599).

Bei dem im RAS-Telefonbuch aufgetretenen Sicherheitsleck handelt es sich um einen Pufferüberlauf, mit dessen Hilfe ein Angreifer Böses im Arbeitsspeicher des betroffenen Rechners vollbringen könnte. Allerdings muss er sich dazu an der Konsole der Maschine selbst anmelden, somit dürften die meisten Server nicht direkt betroffen sein. Anders sieht das Ganze bei Workstations und Terminalservern aus, hier sollte man den entsprechenden Patch dringend installieren. Die erste Variante des Hotfix hat übrigens die Berechtigungsstruktur der lokalen RAS-Installation etwas durcheinander gebracht, sodass nach dem Einspielen nur noch Administratoren in der Lage waren, Verbindungen einzurichten und aufzubauen. Diese unerfreuliche Einschränkung wurde in der zweiten Version des Patches aber behoben (Q318138, Q324908).

Was wäre eine Ausgabe von ‘Windows Security’ ohne Cumulative Patch? Diesmal sind Sammelflicken für Excel, Word und den Windows Media Player im Angebot. Sie beheben eine Reihe von Sicherheitsproblemen, die entweder als ‘moderate’ (Excel und Word) oder als ‘critical’ (Media Player) eingestuft werden. Zumindest den Patch für den Media Player sollte man also installieren. Betroffen sind die Versionen 6.4, 7.1 und XP des Media Players und 2000, 2002 und XP im Fall von Excel beziehungsweise Word (Q324458, Q320920).

Wer zur Entspannung gerne ein bisschen mit der koreanischen Version von Visual Studio.NET arbeitet, sollte Vorsicht walten lassen: Eine der Hilfedateien ist virenverseucht ausgeliefert worden. Ausgerechnet der Nimda-Virus hat sich auf die CDs geschmuggelt und kann sich potenziell von dort weiterverbreiten, wobei Microsoft die Wahrscheinlichkeit als ‘sehr gering’ angibt. Trotzdem hat man in Redmond ein Update zusammengebastelt, das über das Web zu beziehen ist (Q323302).

Näheres zu den einzelnen Sicherheitsproblemen gibt es online unter www.microsoft.com/technet/security. Die angegebenen KnowledgeBase-Artikel sind unter search.support.microsoft.com/kb erhältlich. Über die iX-Webseite sind alle bisherigen Ausgaben von ‘Windows Security’ zu erreichen. (wm)