Microsoft

Same procedure as every year. Kurz vor dem Erscheinen eines neuen Servicepacks sinkt die Anzahl der veröffentlichten Hotfixes spürbar, was ja vom allgemeinen psychologischen Standpunkt durchaus willkommen ist; erhält der sicherheitsbewusste (und somit geplagte) Windows-Administrator zumindest für einige Zeit die Gelegenheit, sich mit einem einzigen Update rundum sicher fühlen zu können.

Servicepack 4 für Windows 2000 beinhaltet alle bisher erschienenen Hotfixes, ob sicherheitsrelevant oder nicht. Selbst wer sonst das Patchen seiner Windows-Installationen eher scheut (aus welchen Gründen auch immer); SP4 ist nicht nur von einem Sicherheitsstandpunkt aus gesehen ein Muss, sondern auch aus Gründen der allgemeinen Systempflege. Dem Autor dieser Zeilen kommen trotzdem immer wieder Rechner unter, auf denen - wenn überhaupt - das vorvorletzte Servicepack installiert ist, weil „sie ja so stabil laufen“. Mit dieser Argumentation lässt man nicht nur bekannte Sicherheitslücken weiterhin offen, sondern verbaut sich selbst den Weg hin zu einem sichereren System, da die meisten Security-Updates (wie andere Hotfixes auch) einen bestimmten Patch-Level voraussetzen. Das Servicepack 4 für Windows 2000 gibt es momentan in Deutsch und Englisch unter www.microsoft.com/windows2000/downloads/servicepacks/sp4/.

Trotzdem: Ohne ein paar neue Sicherheits-Hotfixes geht es auch diesen Monat nicht. So gibt es einen neuen „cumulative patch“ für den Internet Explorer in den Versionen 5.01, 5.5, 6.0 und „6.0 for Windows Server 2003“; 6.0 ist eben nicht unbedingt gleich 6.0. Zusätzlich zu allen bisher erschienenen Patches enthält der Sammelflicken die Stopfen für zwei neu entdeckte Sicherheitslöcher: Ein Pufferüberlauf kann einem Angreifer das Ausführen von beliebigem Code auf dem betroffenen Rechner (und im Sicherheitskontext des angemeldeten Benutzers) ermöglichen. Gleiches ist ebenso aufgrund eines Fehlers in einer Dialogbox zum Datei-Download möglich.

Microsoft stuft beide Sicherheitslücken als kritisch ein; wir tun dasselbe und empfehlen allen Lesern, den Sammel-Patch zu installieren (818529).

Weihnachten im Hochsommer: „Die Tür macht auf, das Tor macht weit“ scheint das auf neudeutsch sogenannte „mission statement“ der Programmierer des Windows Media Players gewesen zu sein. Im Kampf gegen Real und Quicktime um Marktanteile ist es eben wichtig, neue Versionen schnell zu veröffentlichen; Flüchtigkeitsfehler, die dabei unterlaufen, rächen sich ja erst später. So wurde jetzt ein Fehler in einem im Paket mitgelieferten ActiveX-Control bekannt, der einem Angreifer Zugriff auf die Media-Library des betroffenen Benutzers verschaffen kann. Wer den Inhalt seiner Library also lieber für sich behält, sollte den entsprechenden Patch installieren (819639).

Zum selben Themenbereich gehört eine Sicherheitslücke, die in den sogenannten „Windows Media Services“ bekannt wurde. Die Media Services ermöglichen Multicast-Streaming und beinhalten eine Komponente, mit deren Hilfe ein Logging der auf den Stream zugreifenden Clients durchgeführt werden kann. Diese Komponente installiert sich als ISAPI-Erweiterung in den IIS des Streaming-Servers und treibt dort ihr Unwesen. Sie ermöglicht leider eine DoS-Attacke gegen den IIS, und auch das Ausführen von eigenem Code soll einem Angreifer laut Microsoft möglich sein (817772, 822343).

Näheres zu den einzelnen Sicherheitsproblemen sowie die angegebenen KnowledgeBase-Artikel gibt es online. (wm)