Fünf Mal "Remote Code Execution" zum Microsoft Patchday
Microsoft plant für nächsten Dienstag fünf kritische Updates für Windows. Auf der Liste findet sich kein FTP-Patch, obwohl FTP-Server im IIS 7 jetzt auch verwundbar ist.
Zum nächsten Patchday am Dienstag, dem 8. September, will Microsoft fünf Updates für Windows veröffentlichen. Sie betreffen jeweils unterschiedliche Versionen. Alle betreffen Sicherheitslücken, über die ein Angreifer im schlimmsten Fall übers Netz Code einschleusen und ausführen kann – etwa um Schadsoftware auf dem System des Anwenders zu installieren. Somit stuft Microsoft alle fünf Patches in der höchsten Kategorie "kritisch" ein.
Für die Lücke im FTP-Dienst der Internet Information Services ist offenbar noch kein Patch geplant. Anfang der Woche wurde ein Skript veröffentlicht, mit dem ein Angreifer die Kontrolle über einen Server mit IIS 5 übernehmen kann, wenn dieser FTP-Dienste anbietet und dem Anwender Schreibrechte einräumt. Auch die Version 6 ist davon betroffen.
Hinzu kommt, das Microsoft offenbar eine zweite Sicherheitslücke im FTP-Dienst von IIS entdeckt hat, die auch IIS 7 betrifft, wenn dort der FTP Service 6.0 installiert ist. FTP Service 7.5 ist anscheinend nicht anfällig. Diese Lücke kann aber nur missbraucht werden, um den Dienst zum Absturz zu bringen.
- Vorankündigung der September-Patches bei Microsoft
- Microsoft warnt vor Lücke in den Internet Information Services auf heise Security
(ju)
