Web

 

Microsoft: Sicherheitslecks im Viererpack

04.10.2002

MÜNCHEN (COMPUTERWOCHE) - Bill Gates wird schon wissen, warum er bei Microsoft Anfang des Jahres seinen Sicherheits-Check "Trustworthy Computing" ausgerufen hat. Gestern jedenfalls veröffentlichte der Softwarekonzern aus dem Seattler Vorort Redmond gleich vier neue Security Bulletins auf einen Schlag. Darin geht es um folgendes:

MS02-54: Die in Windows 98 mit Plus!-Paket, Windows Me und Windows XP teilweise optional enthaltene Funktion zur Ordnerkompression mittels ZIP enthält zwei als moderat eingestufte Fehler - einen unchecked Buffer sowie die Möglichkeit, Dateien anderswohin auszupacken als vom Benutzer vorgegeben. Für alle genannten Betriebssysteme sind entsprechende Patches bereits erhätlich.

MS02-55: Die HTML-Hilfe in Windows 98, Me, NT4, 2000 und XP enhält mehrere Lecks in einem ActiveX-Control (Buffer overrun) und beim Umgang mit kompilierten Hilfedateien (.chm), die der Hersteller ingesamt als kritisch einstuft. Patches sind über Windows Update oder als direkte Downloads für alle Systeme erhältlich.

MS02-56: In der Datenbank SQL Server in den Version 7 und 2000 sowie der korrespondierenden Microsoft Data Engine 1.0/Microsoft Desktop Engine 2000 wurden vier neue Sicherheitslecks entdeckt. Das gravierendste würde einem Angreifer die Kontrolle über einen Server verschaffen und wird als kritisch eingestuft. Patches sind für SQL Server 7 SP4 und SQL Server 2000 SP2 erhältlich; diese stopfen kumulativ auch zuvor entdeckte Löcher.

MS02-57: Das Services for Unix 3.0 Interix SDK (Software Development Kit) enthält eine fehlerhafte Version der RPC-Library (Remote Procedure Calls) von Sun Microsystems. Diese ist über DoS (Denial of Service) angreifbar. Administatoren oder Entwickler, die Anwendungen oder Utilities mit Sun RPC auf dem SFU Interix SDK unter Windows NT4, 2000 oder XP betreiben, rät Microsoft zur Installation des ausschließlich in englischer Sprache verfügbaren Patches.

(tc)