Microsoft

Gleich zwei Servicepacks 3 in einem Monat - Administratoren von Windows-Systemen können sich auf umfangreiche Test- und Installationsarbeiten an ihren Rechnern freuen. Sowohl für Exchange 2000 als auch für Windows 2000 veröffentlichte Microsoft im Juli ein drittes Servicepack. Tatsächlich ist es den Redmondern diesmal gelungen, alle bisher für das jeweilige Produkt erhältlichen Sicherheitspatches mit in das Paket zu packen.

Ob das nun daran liegt, dass Microsoft aus strategischen Überlegungen kurz vor dem Erscheinen der Servicepacks keine sicherheitsrelevanten Hotfixes mehr bereitstellt, oder ob es wirklich keine neuen Sicherheitslücken mehr gibt, sei dahingestellt. Den aktuellen Mangel an neuen Security Bulletins aus den Bereichen Windows und Exchange kompensiert man bei Microsoft auf jeden Fall mit einer wahren Flut an Veröffentlichungen von Sicherheitslücken im SQL Server.

So gibt es einen neuen ‘cumulative patch’ für den SQL Server, der drei kürzlich entdeckte Sicherheitslöcher zu verschließen verspricht: zwei Pufferüberläufe und eine fehlerhaft konfigurierte Zugriffsberechtigung auf einen Registry-Key erlauben es einem Angreifer, sich als SQL-System-Administrator auszugeben. Der Patch enthält wie üblich alle vorherigen SQL-Flicken, wurde aber etwas zu früh veröffentlicht: Knapp zwei Wochen später reichte Microsoft zwei Hotfixes nach, die weitere Sicherheitslöcher im SQL-Server überkleben sollen. Während es sich beim ersten Patch wieder um einen Sammelflicken handelt, kommt der zweite alleine daher. Sie müssen aber beide installiert werden, um das System abzudichten (Q316333, Q323875).

Microsofts drittes Sorgenkind aus Sicherheitsperspektive ist neben dem IE und dem IIS sicherlich der Windows Media Player (WMP). Während die beiden ersten unter das oben erwähnte strategische Hotfix-Embargo fallen - wenn es so etwas tatsächlich geben sollte - sah man sich in Redmond gezwungen, den kürzlich veröffentlichten WMP-Sammelpatch (siehe Windows Security in der letzten iX) zurückzuziehen und neu zu packen: man hatte eine Datei vergessen, und so war der ‘cummulative patch’ nicht kumulativ, sondern bestenfalls additiv. Die entsprechenden Sicherheitslücken bezeichnet Microsoft als kritisch, alle WMP-Benutzer sollten diesen Hotfix dringend installieren. Betroffen sind die Media-Player-Versionen 6.4, 7.1 und XP (Q320920).

Microsoft Metadirectory Services (MMS) können ein - aus unterschiedlichen Datenquellen gespeistes - einzelnes zentrales Verzeichnis erstellen. Dabei kann MMS verschiedene Active Directories, Exchange-5.5-Verzeichnisse und LDAP-basierende Systeme von anderen Herstellern auslesen und die Daten zusammenführen. Ein Fehler in der zugrunde liegenden LDAP-Implementierung führt dazu, dass Angreifer Daten im MMS-Data-Repository verändern können. Allerdings setzt dies profunde Kenntnisse sowohl von MMS im Allgemeinen und von der jeweiligen Konfiguration im Speziellen voraus, sodass die Wahrscheinlichkeit eines solchen Angriffs gering ist; Gates’ Mannen stellen dennoch einen Patch für MMS 2.2 zur Verfügung (Q317138).

Näheres zu den einzelnen Sicherheitsproblemen gibt es online unter www.microsoft.com/technet/security. Die angegebenen KnowledgeBase-Artikel sind unter search.support.microsoft.com/kb erhältlich. Über die iX-Webseite sind alle bisherigen Ausgaben von ‘Windows Security’ zu erreichen. (wm)