Die ersten Patches im neuen Jahr

22. Jänner 2004, 12:19
1 Posting

Microsoft bringt drei Updates für den ISA-Server, Exchange 2003 und den Data Access Components (MDAC)

Microsoft hat die ersten Sicherheitheits-Updates des neuen Jahres veröffentlicht. Die Securty Bulletins MS04-001, MS04-002 und MS04-003 beheben Sicherheitslücken im ISA-Server, in Exchange 2003 und in den Data Access Components (MDAC).

Kritische ISA-Server-Lücke

Das Securty Bulletin MS04-001 bietet ein Update für eine, als kritisch eingestufte, Sicherheitslücke im Internet Security and Acceleration Server (ISA)-Server. Ein Fehler im H.323-Filter ermöglicht es Angreifern den Stack des Servers mit eigenem Code zu überschreiben und eine Buffer Overflow-Attacke zu starten. Neben der Installation des Updates können Administratoren auch den Filter einfach deaktivieren - dieser ist standardmäßig aktiv - oder den ISA-Server im Cache-Mode betreiben.

Zugriff auf fremde Mailboxen

Das Microsoft Security Bulletin MS04-002 beseitigt ein Sicherheitsproblem bei Exchange 2003. Dieses ermöglicht es, dass Anwender Zugriff auf fremde Mailboxen erhalten. Laut Microsoft tritt dieser Fehler nur dan auf, wenn die Postfächer über Outlook Web Access abgefragt werden und zusätzlich die Authentifizierung mit NTLM erfolgt.

Aller guten Dinge sind drei

Das dritte und letzte Sicherheitsupdate MS04-003 bereinigt einen Fehler in den Microsoft Data Access Components (MDAC). Die MDAC-Komponenten werden zur Netzwerk-Kommunikation mit SQL-Datenbanken eingesetzt. Ein Angreifer könnte über das Netzwerk eigenen Code in Clients schleusen und diesen auch ausführen. Durch manipulierten Antworten lässt sich so ein Buffer Overflow provozieren.

Noch kein Patch für den IE

Weiterhin ist kein Patch für den Microsoft Browser Internet Explorer in Sicht. Derzeit beschäftigen zwei Sicherheitslücken die Anwender: zum einen das URL-Spoofing-Problem, zum anderen eine Sicherheitslücke, die seit November des Vorjahres bekannt ist, aber noch nicht gestopft wurde. Durch diese Lücke können Angreifer Code auf Windows-Systeme laden und zur Ausführung bringen.(red)

Share if you care.