13.06.2002

SICHERHEIT

Bildquelle: waldt

Microsoft warnt dreifach

Microsoft hat heute gleich drei Security Bulletins veröffentlicht.

Das erste betrifft Benutzer, die Web Server auf Microsoft Windows NT 4.0 oder Windows 2000 betreiben.

Das Patch beseitigt ein neu entdecktes Problem, das einen möglichen Pufferüberlauf in den Chunked Encoding Daten Transfer Mechanismen im IIS 4.0 und IIS 5.0 betrifft, der dazu verwendet werden kann, einen Überlauf im Heap Speicher herbeizuführen und so IIS entweder zum Versagen zu bringen oder Code auf dem Server auszuführen.

Microsoft Security Bulletin MS02-028

Nummer zwei

Das zweite Bulletin betrifft Benutzer von Microsoft Windows NT, Windows 2000 und Windows XP.

Das Remote Access Service [RAS] erlaubt demnach Einwahlverbindungen zwischen Computern und Netzwerken über gebräuchliche Kommunikationsprotokolle. RAS ist standardmässig in Windows NT 4.0, Windows 2000 und WIndows XP enthalten und auch im separat downloadbaren Routing and Remote Access Server [RRAS] für Windows NT 4.0 enthalten.

Alle diese implementationen enthalten das RAS Telefonbuch um Informationen über Telefonnummern, Sicherheit und Netzwerkeinstellungen zu speichern, die verwendet werden, um Remote-Systeme anzuwählen.

Microsoft Security Bulletin MS02-029

Nummer drei

Die dritte Warnung betrifft Administratoren, die den SQL Server 2000 benutzen.

SQLXML erlaubt demnach das senden von XLM Daten an einen SQL Server 2000 sowie das empfangen derselben. Datenbankanfragen können als XML Dokumente retourniert werden, und so leicht gespeichert oder weitergegeben werden. Durch SQLXML ist es möglich, auf den SQL Server mittels XML über den Webbrowser mittels HTTP zuzugreifen.

Dadurch können Angreifer unter anderem, Skripts in der Sicherheitszone des Computerbenutzers ausführen.

Microsoft Security Bulletin MS02-030

Gestern
Bereits gestern hat Microsoft aufgrund eines Sicherheitsproblems im Gopher Protokoll einen Security Bulletin veröffentlicht, der den Microsoft Internet Explorer, den Internet Security and Acceleration [ISA] Server 2000 sowie den Proxy Server 2.0 betrifft.

Microsoft Security Bulletin MS02-027