Web

 

Microsoft überarbeitet Patches und warnt vor neuen Lecks im IIS

30.05.2003

MÜNCHEN (COMPUTERWOCHE) - Microsoft warnt vor Sicherheitslücken in den IIS-Versionen (Internet Information Server) 4.0, 5.0 und 5.1, die als "kritisch" eingestuft werden. Betroffen sind Anwender, die den Server unter Windows NT 4.0, 2000 und XP betreiben. Die Lecks umfassen das so genannte Cross Site Scripting, bei denen Online-Anfragen auf Websites Dritter umgelenkt werden, um die Sicherheitseinstellungen betroffener Nutzer zu manipulieren. Des Weiteren weist die Software einen Speicherüberlauf auf, durch den Hacker beliebigen Code mit Benutzerrechten ausführen können. Außerdem liegen zwei DoS-Lücken (Denial of Service) vor, durch die sich der Server in die Knie zwingen lässt. Abhilfe soll ein Sammel-Patch schaffen, der die Installation eines im September 2002 erstmals erschienen und im Februar 2003 erneuerten Fixes für eine Identity-Spoofing-Lücke voraussetzt.

Microsoft hat außerdem zwei Patches für Windows NT 4, 2000 und XP überarbeitet. Demnach soll nun die am 17. März dieses Jahres erstmals veröffentlichte Fehlerbereinigung für ein Leck im WebDAV-Protokoll (World Wide Web Authoring and Versioning) keine Probleme mehr bereiten. Nach Einspielen des Patches verweigerte Windows 2000 zum Teil den Neustart (Computerwoche online berichtete). Auch ein im April erschienener Bugfix, der einen Speicherüberlauf im Windows-Kernel beseitigen soll (Computerwoche online berichtete), wurde in

einer fehlerbereinigten Version zur Verfügung gestellt. (lex)