Verwirrung um Microsoft-Patches
Noch gestern hieß es aus Redmond, für diesen Monat gäbe es keine regulären Sicherheitsupdates -- heute zeigt der Windows-Update-Service an, es sei neuer Patch für den Web-Server IIS zu installieren.
Noch gestern hieß es aus Redmond, für diesen Monat gäbe es keine regulären Sicherheitsupdates -- heute zeigt der Windows-Update-Service an, es sei ein neuer Patch für den Web-Server IIS zu installieren. Doch selbst auf dem Internet Information Services (IIS) Security Center prangt als oberste Schlagzeile, dass für den Dezember keine monatlichen Security-Updates anstünden.
Bei einem Klick auf den Link zu den Details des Updates stellt sich heraus, dass der Patch und das zugehörige Security Bulletin MS03-18 vom 28. Mai stammen, die letzte Änderung datiert auf den 30. Mai. Somit lässt sich vorerst nicht feststellen, was sich an dem Patch geändert hat oder ob eventuell der Update-Service durcheinander gekommen ist. Das Update beseitigt mehrere Fehler in IIS 4 bis 5.1, der wichtigste ist ein Denial-of-Service-Problem mit WebDAV. IIS 6.0 ist nicht betroffen. Microsoft schätzt die Probleme als "Mittel" bis "Hoch" ein -- um ein für Notfälle vorgesehenes Emergency-Release kann es sich also kaum handeln.
Der Redaktion liegt außerdem ein bisher nicht bestätigter Bericht eines Lesers vor, dessen System beim Einspielen des Patches abstürzte; an unseren Systemen ließ sich dieses Problem jedoch nicht nachvollziehen.
Siehe dazu auch: (ju)
- Internet Explorer: Neue Schädlinge, keine Patches auf heise Security
- Microsoft Security Bulletin MS03-018 Cumulative Patch for IIS
- Microsoft Security Bulletin MS03-018 Kumulativer Patch für IIS
