Frische Sicherheitslöcher bei Direct-X, SQL-Server und NT

In insgesamt drei Security-Bulletins warnt Microsoft eine Woche nach dem letzten Rundumschlag schon wieder vor zum Teil gravierenden Sicherheitslücken in seinen Produkten.

In insgesamt drei Security-Bulletins warnt Microsoft eine Woche nach dem letzten Rundumschlag schon wieder vor zum Teil gravierenden Sicherheitslücken in seinen Produkten. Für den gravierendsten ist Direct-X verantwortlich, eine Sammlung von Verfahrenanweisungen für die Behandlung von Grafik- und Multimedia-Anwendungen. Aber auch die beiden weiteren Schwachstellen in SQL-Server-Produkten und im Betriebssystem Windows NT erlauben es Außenstehenden, korrupten Code auf fremden Rechnern zu platzieren und dort auszuführen.
Betroffen sind alle Versionen von Direct-X von 5.2 bis hin zur aktuellen 9.0a, das heißt von Windows 98 bis Windows Server 2003. Microsoft hat auch wegen der enorm großen Verbreitung den Fehler mit seiner höchsten Warnstufe versehen. Direct-X ist unter anderem zuständig für die Verarbeitung von Midi-Dateien. Eine präparierte Datei kann den Direct-X-Buffer vollaufen lassen und im Zuge dessen mitgebrachten Code ausführen. Darauf wurde Microsoft vom Sicherheitsdienstleister E-Eye Security hingewiesen.

Immerhin verhindern die Default-Sicherheitseinstellungen, dass etwaiger Code ohne Zutun des Anwenders ausgeführt wird. Aber ein Klick auf eine per Mail erhaltene Datei würde zur Aktivierung genügen. Bisher sei kein Vorfall bekannt geworden, bei dem der Fehler ausgenutzt wurde, heißt es in dem Sicherheits-Bulletin von Microsoft. Ein Patch, mit dem die Schwachstelle abgedichtet werden kann, ist beim Hersteller verfügbar.

Darüber hinaus warnt Microsoft vor einer “mittelgroßen” Gefahr durch Schwachstellen im SQL Server 7.0, im MS Data Engine, SQL Server 2000, Desktop Engine 2000 und SQL Server 2000 Desktop Engine. Auch dafür ist ein Patch zum Download bereitgestellt. Das Betriebssystem NT 4.0 Server, auch in der Terminal Services Edition, ist schließlich von einer “moderaten” Gefährdung betroffen. Es gebe eine neue Möglichkeit, Denial-of-Service-Angriffe gegen die Rechner zu fahren. Geeignete Maßnamen sind ebenfalls im aktuellen Bulletin beschrieben.

Im laufenden Monat haben sich die Sicherheitswarnungen bei Microsoft erneut gehäuft. ITler und Analysten halten den Redmondern immerhin zugute, dass sie ihre Informationspolitik verbessert hätten und inzwischen schneller und umfassender informierten. Einen gewaltigen Imageschaden trägt allerdings das neueste Server-OS Windows Server 2003 davon. Als erstes Großprojekt unter den Augen der hauseigenen ‘Trustworthy Computing’-Initiative hat das Betriebssystem weitaus mehr Aufmerksamkeit der Microsoft-Tester erfahren – aber offenbar noch immer nicht genug. Niemand erwarte absolut fehlerfreie Software, heißt es in der Branche, aber die Menge an Problemen sei doch erstaunlich.