Achtung Admin: Großes Sicherheitsloch auf IIS-Server

Management

Patchen, aber zackig!

Microsoft hat bestätigt, dass seine Web-Server sowie der Browser Internet Explorer eine Sicherheitslücke aufweisen, die Unbefugten den Zugriff auf das IT-System ermöglichen könnten. In ungewohnt drastischer Form warnt der Softwarehersteller, dies stelle eine ernsthafte Bedrohung jedes Systems dar.

Zwar existiert derzeit noch kein Wurm oder ein anderes Virusprogramm, das diese Lücke ausnutzt – das sei aber nur noch eine Frage der Zeit, heißt es bei Microsoft. Der Sicherheitsspezialist Foundstone hatte zuerst auf das Problem hingewiesen und dann zusammen mit Microsoft einen Patch entwickelt.

Konkret handelt es sich um die Bausteine der Microsoft Data Access Components (MDAC), die Windows-Plattformen an Datenbanken anbinden können. Durch die mangelhafte Absicherung erscheint es möglich, dass sowohl auf dem Webserver als auch auf Windows-Clients fremder Code ausgeführt wird. Weltweit ist Microsofts Internet Information Server (IIS) die Plattform für rund 4,1 Millionen Websites.

“Klar und deutlich, das ist äußerst kritisch”, so die Chefin des Redmonder Service Center für Sicherheit Lynn Terwoerds. “Wir wollen, dass die Zahl der gepatchten Systeme so hoch wie möglich ist.”

Der entsprechende Patch steht auf der Microsoft-Website zur Verfügung. Der Hersteller hat alle betroffenen IT-Verantwortlichen dazu aufgerufen, das Update so schnell wie möglich aufzuspielen. Sonst bleibe nur die Wahl, MDAC einfach zu deaktivieren oder ein Upgrade zu fahren auf MDAC 2.7 – diese Version ist von der Sicherheitslücke nicht betroffen.

Beim Client dagegen empfiehlt Microsoft ein sofortiges Patchen, sofern der Rechner online verwendet wird.