Microsoft patcht Windows 2000, PPTP und IIS

Mit drei neuen Security Bulletins adressiert Microsoft Sicherheitslücken in Windows 2000, dem Point-to-Point Tunneling Protocol und im hauseigenen Webserver. Die Gefährlichkeit der Löcher rangiert von eher vage bis zu kritisch.

Das Security Bulletin MS02-64 beschreibt eine Schwäche in der Rechteverwaltung von Windows 2000, über die lokale Benutzer mit interaktivem Login möglicherweise einen Trojaner einschmuggeln könnten. Dazu müsste jedoch der Root-Pfad des Systems (üblicherweise C:\\) im Suchpfad des attackierten Accounts auftauchen. Einen Patch kann Microsoft nicht anbieten und beschreibt statt dessen im Bulletin administrative Maßnahmen, die das Loch stopfen sollen.

Mit dem Security Bulletin MS02-63 schließt Microsoft eine seit Ende September bekannte Lücke im selbstgestrickten VPN-Protokoll PPTP. Über einen Buffer Overflow kann ein Angreifer PPTP-Server unter Windows 2000 und XP zum Absturz bringen, unter gewissen Umständen lässt sich die DoS-Attacke auch gegen VPN-Clients einsetzen.

Gleich vier kritische Lecks in den IIS-Versionen 4.0 bis 5.1 beseitigt der mit dem Security Bulletin MS02-62 ausgelieferte kumulative Patch. Die Auswirkungen der Sicherheitslücken reichen von Cross-Site Scripting über mögliche Denial-of-Service-Attacken bis hin zur kompletten Übernahme der Systemrechte durch externe Angreifer. Webserver der betroffenen Versionen sollten deshalb umgehend aktualisiert werden.

Der Zeitpunkt der Auslieferung des IIS-Patches wirft einmal mehr Fragen nach der Ernsthaftigkeit von Microsofts vorgeblichen Bestrebungen in Richtung Trustworthy Computing auf. Eine der jetzt beseitigten Sicherheitslücken (WebDAV DoS-Angriff) war in Redmond nach Angabe des Entdeckers bereits seit dem 16. Mai 2002 bekannt. Bereits mehr als ein Jahr vorher, am 3. März 2001, war schon einmal eine ähnliche DoS-Vulnerabilty der selben Komponente beschrieben worden.

Wie dieses Beispiel demonstriert, hat Microsoft den von Bill Gates in den Medien groß angekündigten Bugfix-Code-Review im Januar dieses Jahres offensichtlich nur recht lax betrieben. Zudem erhärtet der Vorfall den Verdacht, dass Microsoft auch weiterhin seine Security-by-Obscurity-Taktik fortsetzt und mit Sicherheitslöchern monatelang hinter dem Berg hält, bevor endlich Patches veröffentlicht werden. (jlu)