Microsoft stopft drei neue Löcher
Microsoft hat wieder Sicherheitslücken entdeckt und die passenden Patches veröffentlicht.
Der erste Security Bulletin betrifft Systemadministratoren, die den Microsoft SQL Server 7.0, den SQL Server 2000, die Microsoft Data Engine [MSDE] 1.0 oder die Microsoft Desktop Engine [MSDE] 2000 verwenden
Microsoft stuft dieses Problem als kritisch ein und empfiehlt Systemadministratoren betroffener Produkte die Installation des Patches auf betroffenen Systemen.
Kritisch
Dies ist ein kumulativer Patch, der alle Funktionen der bis dato
veröffentlichten Patches für den SQL Server 7.0, SQL Server 2000,
die Microsoft Data Engine [MSDE] 1.0 und Microsoft Desktop Engine
2000 enthält. Zusätzlich wird ein neu entdecktes Problem behoben.
Die SQL-Server in den Versionen 7.0 und 2000 stellen gespeicherte
Prozeduren bereit, dies sind Sammlungen von Transact-SQL-Statements,
die unter einem Namen gespeichert werden und als Gruppe ausgeführt
werden. Eine dieser Prozeduren, eine erweiterte gespeicherte
Prozedur und schwache Berechtigungen auf Tabellen kombiniert
erlauben es Benutzern mit niedrigen Berechtigungen, Web Tasks
auszuführen, zu löschen, einzufügen und zu verändern.
Microsoft Security Bulletin MS02-061Fehler im Windows-XP-Hilfe- und Support-Center
Der zweite Security Bulletin betrifft Benutzer von Microsoft Windows XP.
Microsoft stuft dieses Problem als durchschnittlich ein und empfiehlt Benutzern als erste Option die Installation des Windows XP Service Pack 1 in dem dieser Fix bereits enthalten ist. Der¿ bereitgestellte Patch sollte nur als Interimslösung auf betroffenen Systemen installiert werden.
Es besteht ein Sicherheitsproblem in der Windows-XP-Version des Hilfe- und Support-Centers, da eine Datei, die eigentlich ausschließlich für das System benutzbar sein sollte, auch von jeder Website benutzt werden kann. Diese Datei ermöglicht dem Benutzer, anonymisiert Hardware-Informationen hochzuladen, sodass Microsoft feststellen kann, für welche Endgeräte Benutzer keine Gerätetreiber finden können. Diese Informationen werden verwendet, um mit Hardware-Herstellern und den respektiven Teams bei Microsoft die Qualität und Quantität der für Windows vorhandenen Gerätetreiber ständig zu verbessern. Vom Design her löscht das System nach dem Upload die XML-Datei mit diesen Hardware-Informationen umgehend.
Microsoft Security Bulletin MS02-060Fehler in Word-Feldern und Excel
Der dritte Security Bulletin betrifft Benutzer von Microsoft Word und Microsoft Excel.
Microsoft stuft dieses Problem als durchschnittlich ein und empfiehlt Benutzern betroffener Produkte, den bereitgestellten Patch auf betroffenen Systemen zu installieren.
Word und Excel beinhalten einen Mechanismus, über den Daten aus einem Dokument in ein anderes Dokument eingefügt und aktualisiert werden können. Dieser Mechanismus, bekannt als Feldfunktionen in Word, und externe Updates in Excel kann automatisiert werden, um manuelle Eingriffe seitens des Benutzers zu minimieren.
Ein Problem existiert, da es böswillig erstellten Feldfunktionen und externen Updates möglich ist, Daten eines Benutzers zu sammeln, ohne dass der Benutzer dies merken würde. Bestimmte Vorgänge lösen bei Feldfunktionen und externen Updates eine automatische Aktualisierung aus, wie das Speichern eines Dokuments oder ein manuelles Update des Benutzers von Links. Normalerweise merkt der Benutzer, dass diese Updates passieren, allerdings kann eine speziell erstellte Feldfunktion bzw. ein speziell erstelltes externes Update verwendet werden, um diese Aktualisierung ohne Nachricht an den Benutzer durchzuführen. Dies kann es einem Angreifer erlauben, ein Dokument zu erstellen das, sobald geöffnet, sich selbst aktualisieren würde, um Daten aus einer Datei vom Computer des Benutzers zu inkludieren.
Microsoft Security Bulletin MS02-059