Microsoft

Im letzten Monat spekulierten wir an dieser Stelle darüber, ob Microsoft einen gewissen Zeitraum vor und nach der Veröffentlichung von SP3 als hotfix-frei erklärt hat, um das neue Service Pack nicht dem Vorwurf auszusetzen, unvollständig zu sein. Ob diese Spekulation zutrifft, sei dahingestellt. Tatsache ist jedenfalls, dass es mittlerweile neue Sicherheits-Patches für Windows in diversen Versionen gibt.

So ist beispielsweise eine Sicherheitslücke im so genannten Network Share Provider aufgetaucht, das ist die Komponente, die es erlaubt, lokale Ressourcen für den Zugriff über das Netz freizugeben. Ein potenzieller Puffer überlauf in der Implementierung von SMB, dem zugrunde liegenden Protokoll, kann es Angreifern erlauben, DoS-Attacken auszuführen (möglicherweise auch Schlimmeres), worüber sich Microsoft allerdings ausschweigt. Betroffen sind NT 4.0, Windows 2000 und XP. Die Sicherheitslücke besteht somit seit geraumer Zeit, den Patch gibt es seit kurzem (Q326830).

Ein Sicherheitsloch mit ähnlich langer Vorgeschichte existiert im Certificate Enrollment Control, das für die Verarbeitung von Krypto-Zertifikaten verantwortlich ist. Ein böswilliger Webmaster kann unter Ausnutzung dieser Sicherheitslücke Zertifikate löschen, die sich auf dem Rechner des betroffenen Benutzers befinden. Je nachdem, welche Zertifikate dabei verloren gehen, kann der Benutzer keine E-Mails mehr signieren, ver- oder entschlüsseln oder verliert sogar den Zugriff auf Dateien, die im Encrypted File System (EFS) gespeichert sind. Betroffen sind alle Windows-Versionen von Windows 98 aufwärts (Q323172).

Der Network Connection Manager von Windows 2000 weist ein neu entdecktes Sicherheitsloch auf, das es jedem Benutzer ermöglicht, beliebigen Code im Sicherheitskontext des lokalen Systems auszuführen. Die Voraussetzung dafür ist, dass sich der Benutzer an der Konsole des betroffenen Rechners anmelden kann und einer laut Microsoft ‘sehr komplexen Prozedur’ folgt (Q326886).

Die Liste der ‘Unpatched IE security holes’ verzeichnet momentan eindrucksvolle 18 Sicherheitslücken, für die die Redmonder bisher keinen Flicken bereitgestellt haben. Diese Aufholjagd zwischen Microsoft und der immer größer werdenden Gruppe derjeniger, die fröhlich neue Lecks im IE aufzeigen, hat etwas vom Rennen zwischen dem Hasen und dem Igel. Trotzdem hat Microsoft wieder einen tapferen Versuch unternommen, den Vorsprung der anderen zu verkleinern: Es gibt einen neuen Cummulative Patch für den IE und allen Benutzern sei die Installation dieses Sammelflickens dringend empfohlen. In Anbetracht oben erwähnter Liste ist es sicherlich keine schlechte Idee, Active Scripting eher restriktiv zu benutzen (Q323759).

In der September-Ausgabe berichteten wir über zahlreiche sicher- heitsrelevante Hotfixes für den SQL Server. Diese diversen Flicken sind jetzt zu einem Patchwork zusammengenäht worden und kommen als ‘Cumulative Patch for SQL Server’ daher. Alle Administratoren, die SQL 7.0 oder 2000 verwenden, sollten diesen Sammelpatch installieren, da man hier auf einen Streich alle bekannten Sicherheitslöcher verschließen kann (Q316333).

‘Unsafe Functions in Office Web Components’ ist der verharmlosende Titel eines brisanten Security Bulletins: Bei den erwähnten Komponenten handelt es sich um eine Reihe von ActiveX-Controls, die Teilfunktionen des Office-Pakets im Webbrowser zur Verfügung stellen und auf diesem Weg den Zugriff auf die installierte Office-Software sowie den Rechner selbst ermöglichen. Angreifer, die lediglich eine Webseite mit entsprechenden Funktionsaufrufen erstellen dürften, können auf diese Weise eigenen Code auf dem betroffenen Rechner ausführen und beliebige Dateien lesen. Die löchrigen Komponenten sind in einer ganzen Reihe verschiedener Produkte zu finden, darunter Office 2000 und XP, Project und Microsoft Money (Q328130).

Näheres zu den einzelnen Sicherheitsproblemen sowie die angegebenen KnowledgeBase-Artikel gibt es online. (wm)