Web

 

Microsoft stopft Lecks in Office, MSN Messenger und Media Services

10.03.2004

MÜNCHEN (COMPUTERWOCHE) - Microsoft schließt mit dem Security-Bulletin für März Sicherheitslücken im Service Pack 2 (SP2) für Office und Outlook 2002. Weitere Patches sollen Fehler in den Windows Media Services und im MSN Messenger beseitigen.

Vom Leck in den Media Services sind Benutzer von Windows 2000 Server (inklusive Service Pack 4) betroffen. Fehler in der Verarbeitung von TCP/IP-Verbindungen durch die Komponenten "Windows Media-Stationsdienst" und "Windows Media-Überwachungsdienst" ermöglichen DoS-Attacken (Denial of Service). So reagiert der Dienst unter Umständen nicht mehr auf Anforderungen, wenn ein Remote-Anwender eine spezielle Folge von TCP/IP-Paketen an den Überwachungsport eines dieser Dienste sendet. Die Funktionalität kann dann nur noch durch einen Neustart wiederhergestellt werden. Die Professional-Version sowie die Betriebssystem-Varianten XP und 2003 Server sind laut Microsoft sicher, eine Patch für Windows 2000 Server liefert der Hersteller mit dem Security Bulletin MS04-008 aus.

Durch ein Sicherheitsproblem in Outlook lässt sich beliebiger Code von Remote-Standorten ausführen. Betroffen ist Office XP mit der Outlook-Version 2002 inklusive Service Pack 2. Das Leck wird durch eine nicht ordnungsgemäße Syntaxanalyse speziell gestalteter Mailto-URLs (Uniform Resource Locators) verursacht, heißt es im Security Bulletin MS04-009. Angreifer können es ausnutzen, indem sie Anwender auf eine manipulierte Web-Seite locken. Abhilfe schafft laut Microsoft das gestern veröffentlichte Service Pack 3.

Ebenfalls unsicher sind die MSN-Messenger-Versionen 6.0 und 6.1. Dateianforderungen werden nicht korrekt verarbeitet, so dass sich unbemerkt lokal gespeicherte Dateien ausspionieren lassen, sofern ein Lesezugriff besteht. Um die Lücke auszunutzen, müssen Angreifer den Anmeldenamen des Messenger-Benutzers kennen. Der Windows Messenger weist das Problem laut Microsoft nicht auf. Patches liefert das Security Bulletin MS04-010 (lex)