Web

Microsoft schließt Lecks in Windows und in Business-Software

09.06.2004

Mit dem Security-Bulletin für den Juni bringt Microsoft Patches für Sicherheitslücken in Windows, Visual Studio .NET 2003, Outlook 2003 mit "Business Contact Manager" und Microsoft Business Solutions CRM 1.2 heraus.

Ein Leck steckt in der API (Application Programming Interface) "IDirectPlay 4" von Microsoft DirectPlay. Betroffen sind die Windows-Versionen 2000 (ab Service Pack 2), XP (auch 64 Bit) und Server 2003 (auch 64 Bit) sowie 98, 98 SE und ME mit installiertem DirectX ab Version 7.0a. Windows NT 4 sowie 98 mit älteren DirectX-Versionen und installiertem Media Player 6.4 sind nicht gefährdet. DirectPlay wurde laut Microsoft falsch implementiert, so dass ankommende Daten fehlerhaft überprüft werden. In der Folge ist es möglich, eine DoS-Attacke (Denial of Service) zu starten und den Rechner in die Knie zu zwingen. Ohne den mit dem Advisory MS04-016 angebotenen Bugfix hilft in diesem Fall nur der Neustart des betroffenen Systems.

Der mit dem Advisory MS04-017 behebt eine Sicherheitslücke in den Applikationen "Crystal Reports" und "Crystal Enterprise" des Herstellers Business Objects. Die Microsoft-Anwendungen Microsoft Visual Studio .NET 2003, Outlook 2003 mit installiertem Business Contact Manager und CRM 1.2 sind betroffen, weil sie gemeinsam mit den Bussiness-Objects-Produkten vertrieben werden.

Die Lücke ermöglicht es Unbefugten, über den "Web-Viewer" von Crystal Reports und von Crystal Enterprise Dateien abzurufen und zu löschen - allerdings nur dann, wenn auf dem betroffenen System auch Microsoft IIS ((Internet Information Services) installiert ist. Die Patches für die einzelnen Komponenten werden sowohl von Microsoft als auch von Bussiness Objects zur Verfügung gestellt. (lex)