Lücke in Frontpage Server Extensions
Die Fehlfunktion steckt im SmartHTML Interpreter (shtml.dll) der Frontpage Server Extensions. Je nach Version der Erweiterungen hat die Lücke andere Auswirkungen. Bei den Frontpage Server Erweiterungen in der Version 2000 kann durch eine bestimmte Anfrage eine DoS -Attacke gestartet werden. Die shtml.dll lässt sich in dem Fall dazu missbrauchen, fast die gesamte CPU-Kapazität mit Endlosschleifen zu belegen. Bei den FPSE 2002 kann die gleich geartete Anfrage dazu führen, dass ein Puffer überläuft. Auf dem Weg steht einem Angreifer der Server für eigene Zwecke offen.
Microsoft bietet einen Patch an, der die betreffende Anfrage als ungültig zurückweist. Die Lücke ist vor allem für Webserver problematisch. Security Bulletin und Links zu den Patches finden Sie hier bei Microsoft. (uba)