14.06.2002
Die Microsoft Security Bulletins 27 bis 30 beschreiben vier Sicherheitslücken, einige davon mehrere Monate alt, doch gibt es nur für drei dieser Lücken Updates. Nicht korrigiert ist nach wie vor der Buffer Overrun im Gopher-Protokoll. Zwar gibt es jetzt ein Advisory, doch ein Patch wird nach wie vor 'entwickelt' und steht noch nicht zur Verfügung.
Auch für Microsofts Internet Information Server (IIS) gibt es ein neues Security Bulletin sowie einen Patch. Die Lücke beruht auf ähnlichen Fehlern wie die 10 Lecks, die Microsoft bereits im April im Security Bulletin 18 beschrieb. Wieder könnten Angreifer beliebigen Code auf anfälligen IIS 4.0 und 5.0 ausführen -- ältere Versionen wurden nicht getestet.
Eine weitere Lücke betrifft das Telefonbuch des Remote Access Service (RAS), das alle Windows-Versionen für Dial-up-Verbindungen verwenden. Auch hier kann beliebiger Code ausgeführt werden, allerdings nur lokal: Telefonnummern in diesem Verzeichnis werden nicht richtig überprüft, sodass über einen Buffer Overrun ein Angreifer möglicherweise beliebigen Code ausführen kann. Einen Patch gibt es über das entsprechende Advisory.
Das neueste Security Bulletin 30 schließlich beschreibt eine Lücke in Microsofts SQLXML, das Bestandteil vom SQL Server 2000 ist und auch separat zu bekommen ist. Microsoft berichtet über zwei Löcher, eines davon ermöglicht ebenfalls das Ausführen beliebiger Programme von außen.
Weiter in der Web-Version mit Fotos, Videos, Links und mehr...