Microsoft arbeitet nicht länger an einem Servicepack 7 für Windows NT 4. Im Gespräch mit Kunden will das Unternehmen herausgefunden haben, dass NT mit Servicepack 6a "sehr stabil" läuft und ein umfangreicher Bugfix deshalb nicht erwünscht sei.
Stattdessen hat Microsoft alle seit Servicepack 6a herausgebrachten sicherheitsrelevanten Fixes im Security Rollup Package (SRP) zusammengefasst. Das 14 MByte große Paket steht in einer Reihe von Sprachversionen zum Download zur Verfügung, darunter Deutsch und Englisch. Damit die Installation gelingt, ist Servicepack 6a zwingende Voraussetzung.
Eine Übersicht über die im SRP enthaltenen Patches findet sich sowohl in der Knowledgebase als auch in Microsofts TechNet-Bereich, wobei Letzterer etwas ausführlicher informiert. Gegliedert nach eigentlichem Betriebssystem und Erweiterungen wie IIS oder Indexserver werden insgesamt 53 behobene Fehler aufgeführt. Darunter auch die Lücke in den ISAPI-Erweiterungen, über die sich der Wurm Code Red verbreitet.
Allerdings schließt auch das SRP nicht alle bekannten Lücken. Sowohl einige neuere Sicherheitslöcher als auch solche älteren Datums lassen sich nur durch separate Hotfixes stopfen.
Die Bugliste auf den folgenden Seiten zeigt jeweils an, auf welche Version von Windows NT der beschriebene Bug zutrifft. S steht für Server, W für Workstation. Tritt der Bug nur in Zusammenhang mit einer bestimmten Software oder Komponente auf, so ist dies ebenfalls verzeichnet.
Neu: Gewusst wo - Servicepacks und Bugfixes
Bugfixes für Windows NT 4.0 erscheinen in regelmäßigen Abständen, man erfährt nur nicht immer davon. Über den kostenpflichtigen Support sorgt Microsoft recht schnell für Abhilfe. Die brandaktuellen Bugfixes erhalten aber nur Benutzer, die das Problem bemerkt haben. Diese Fixes sind noch nicht komplett durchgetestet und freigegeben. Patches für Bugs, die die Systemsicherheit oder -stabilität gefährden, spielt Microsoft bald auf den FTP-Server.
Auf dem FTP-Server befindet sich unter dem Verzeichnis bussys/winnt/winnt-public/fixes eine Baumstruktur, die die wichtigsten Sprachversionen von Windows NT abdeckt. Im Verzeichnis ger finden sich alle Fixes für die deutsche Version von NT.
Die Unterverzeichnisse hotfixes-postSPx enthalten Patches, die nach dem Servicepack mit der Nummer x erschienen sind. Ist also beispielsweise SP4 installiert, sind Patches aus den Verzeichnissen hotfixes-postSP4 und höher relevant. Für jeden Patch gibt es ein Unterverzeichnis mit mindestens vier Dateien.
Datei | Beschreibung |
|---|---|
| |
Q*.TXT | Artikel aus der Knowledgebase mit einer Beschreibung des Fehlers. |
README.TXT | Installationsanweisung für den Bugfix |
*I.EXE | Patch für die Intel-Version von NT |
*A.EXE | Patch für die Alpha-Version von NT |
Die aktuellen Servicepacks selbst lassen sich nur noch über den Support-Webserver von Microsoft downloaden. Da ein neues Servicepack auch immer alle Änderungen der vorhergehenden Packs enthält, steigt die Dateigröße mit jedem neuen Update. Systemadministratoren mit etwas längerer Microsoft-Erfahrung lassen nach Erscheinen eines neuen Servicepacks erst einmal eine oder zwei Wochen vergehen, bevor sie die neuen Fixes installieren. Nach dieser Zeit ist die Wahrscheinlichkeit relativ hoch, dass dieses Update keine schwerwiegenden Mängel aufweist. In der Zwischenzeit behelfen sie sich mit den Hotfixes vom FTP-Server, da diese in der Regel die wichtigsten Sicherheitslücken schließen.
Aktuelle Servicepacks für Windows NT 4.0
Mit dem Servicepack 6 hat sich Microsoft einige Schnitzer geleistet. Zum einen funktionieren die 3C905B-Netzwerkkarten von 3Com unter bestimmten Umständen nicht mehr richtig und zum anderen verweigert der Treiber afd.sys Benutzern ohne Administratorrechte den Zugriff auf bestimmte Winsock-Verbindungen. Somit ist beispielsweise eine Anmeldung an einem Notes-Server nicht mehr möglich. Servicepack 6a, das auch in Deutsch verfügbar ist, enthält einen entsprechenden Patch.
| |
Sprache | Englisch |
|---|---|
Version | 6a |
Dateigröße | 34,5 MByte |
Download | Microsoft Windows NT-Site |
Beschreibung | Behebt 186 zusätzliche Bugs, vor allem in den Bereichen Jahr 2000, Netzwerk und Sicherheit. |
Bemerkungen | Mit dem behobenen Fehler in der Datei AFD.SYS funktioniert SP6a auch wieder mit Lotus Notes. |
| |
Sprache | Deutsch |
|---|---|
Version | 6a |
Dateigröße | 34,5 MByte |
Download | Microsoft Windows NT-Site |
Beschreibung | Behebt 186 zusätzliche Bugs, vor allem in den Bereichen Jahr 2000, Netzwerk und Sicherheit. |
Bemerkungen | Mit dem behobenen Fehler in der Datei AFD.SYS funktioniert SP6a auch wieder mit Lotus Notes. |
Neu: Security Rollup Package - Installation
Ein Doppelklick auf das heruntergeladene Security Rollup Package (SRP) startet die Standardinstallation, deren Verhalten sich durch verschiedene Parameter beeinflussen lässt. Mit -m etwa läuft die Installation ohne Eingriffsmöglichkeit des Anwenders im Hintergrund ab, -q blendet etwaige Rückmeldungen aus. Die Option -n verhindert eine spätere Deinstallation des SRP, da kein Backup der Originaldateien stattfindet. Obwohl wir nach dem Aufspielen des SRP bislang keine Probleme festgestellt haben, sollte man generell auf die Möglichkeit, Hotfixes wieder entfernen zu können, nicht verzichten.
Nach dem obligatorischen Neustart des Rechners empfiehlt es sich, zu überprüfen, ob die Installation erfolgreich verlief. Dazu liefert der Konsolenbefehl "winver" jedoch keine Anhaltspunkte. Entweder man wirft einen Blick auf Systemsteuerung/Software oder führt das SRP mit dem Parameter -l aus. In beiden Fällen muss der Hotfix Q299444 aufgeführt sein.
Einschränkungen
Das Security Rollup Package erhöht nicht die Verschlüsselungsstärke von Windows NT. Das erledigt Servicepack 6a, aber nur in der High-Encryption-Variante. Wer allein Wert auf die 128-Bit-Verschlüsselung des Internet Explorer legt, muss sich das IE High Encryption Pack herunterladen.
Aufpassen heißt es, wenn man nach Aufspielen von Servicepacks oder Hotfixes wie dem SRP zusätzliche NT-Komponenten von den Original-CDs installiert. Dabei werden die Patches durch ältere Dateiversionen ersetzt, und der Anwender muss die Bugfixes erneut installieren.
Neu: Ungeprüfter Puffer in Webserver-ISAPI-Erweiterungen
Über einen ungeprüften Puffer in den ISAPI-Erweiterungen von Microsofts Webserver IIS kann ein Angreifer auf der Zielmaschine beliebigen Code ausführen. Diesen Pufferüberlauf nutzt beispielsweise der Wurm Code Red aus, der so direkt auf Systemebene nach Belieben schalten und walten kann: Er kann etwa Webseiten ändern, Software auf den Server laden oder Letzteren umkonfigurieren.
Die Sicherheitslücke tut sich bereits bei der Standardinstallation des IIS auf. Dabei werden mit den ISAPI-Erweiterungen zusätzliche Funktionen ermöglicht. Unter den dafür zuständigen Bibliotheken befindet sich auch die idq.dll, die unter anderem Scripts zur Server-Administration unterstützt. Die Bibliothek ermöglicht zwar auch Suchanfragen des NT-4.0-Indexservers aus dem Option Pack (unter Windows 2000: Indexdienst), die Lücke öffnet sich jedoch erst durch den IIS.
Dass in der Datei ein ungeprüfter Puffer steckt, hat Microsoft erst relativ spät entdeckt. Daher kommen selbst die Beta-Versionen von Windows XP mit dem Sicherheitsloch.
Datum | 18.06.2001 |
|---|---|
| |
Betrifft | Indexserver 2.0 (NT 4.0 Option Pack); Indexdienst (Windows 2000) |
Wirkung | Ausführen beliebigen Codes |
Patch | Security Rollup Package |
Abhilfe | Security Rollup Package installieren |
Informationen |
Neu: Datenausspähung per Indexserver
Der Indexserver von NT indiziert HTML-, Word-, Excel- und PowerPoint-Dokumente und stellt über den Internet Information Server eine Suchmaschine zur Verfügung. Die so genannte Hit-Highlighting-Funktion enthält jedoch einen Fehler, über den Web-Benutzer auch Zugriff auf Dokumente erhalten können, die nicht im Internetverzeichnis liegen und dementsprechend nicht veröffentlicht werden sollen. Um Zugriff zu erhalten, muss der Internetbenutzer lediglich den Pfad- und Dateinamen angeben. Der Indexserver liefert dann die Textstelle mit dem gefundenen Schlüsselwort.
Der ursprüngliche, im Microsoft Security Bulletin MS00-006 erwähnte Patch bewirkt nichts gegen eine neue Variante der Sicherheitslücke. Diese ermöglicht es, weitere Dateitypen auszuspähen. Erst der ins Security Rollup Package integrierte Patch sorgt für Abhilfe.
Datum | 10.05.2001 |
|---|---|
| |
Betrifft | Indexserver 2.0 (NT 4.0 Option Pack); Indexdienst (Windows 2000) |
Wirkung | Es lassen sich auch Dokumente abrufen, die eigentlich nicht für den Webzugriff gedacht sind. |
Patch | Security Rollup Package |
Abhilfe | Security Rollup Package installieren |
Informationen |
Neu: Gefälschte VeriSign-Zertifikate
VeriSign hat Ende Januar 2001 zwei auf "Microsoft Corporation" ausgestellte digitale Class-3-Zertifikate an einen vermeintlichen Microsoft-Angestellten ausgegeben. Wer den zur Authentifizierung von ausführbaren Programmen beim Download vorgesehenen Zertifikaten vertraut, öffnet Angreifern Tür und Tor.
Die VeriSign-Zertifikate lassen sich benutzen, um Programme, ActiveX-Controls, Office-Makros und ähnlichen ausführbaren Code zu signieren. Vor allem ActiveX und Makros stellen eine besondere Gefahr dar, warnt Microsoft.
Das Update enthält eine Liste zurückgezogener Schlüssel, in der die fraglichen Zertifikate als ungültig aufgeführt sind. Alternativ sollten Benutzer die Annahme von Zertifikaten verweigern, die das Datum des 29. oder 30. Januar 2001 tragen. An diesen Tagen wurden die falschen Digital-IDs ausgegeben. Dagegen wurden an keinem der beiden Tage Zertifikate für Microsoft selbst ausgestellt.
Datum | 22.03.2001 |
|---|---|
| |
Betrifft | Windows 9x, Me, NT, 2000 |
Wirkung | Angriffe durch vermeintlich von Microsoft signierte Programme |
Patch | Security Rollup Package |
Abhilfe | Security Rollup Package installieren |
Informationen |
Neu: Netmon mit ungeprüftem Puffer
Microsoft spendiert sowohl den Server-Varianten von NT und Windows 2000 als auch dem Systems Management Server den Network Monitor (Netmon). Mit diesem Tool können Administratoren den Netzwerkverkehr überwachen und analysieren. Verschiedene Protokoll-Parser bereiten die Rohdaten auf.
Einige dieser Parser besitzen ungeprüfte Pufferbereiche. Ein manipulierter Frame, den ein Angreifer an einen Server schickt, auf dem Netmon läuft, bewirkt einen Pufferüberlauf. Auf diese Weise kann beliebiger Code ausgeführt werden.
Datum | 01.11.2000 |
|---|---|
| |
Betrifft | Windows NT S; Windows 2000 |
Wirkung | Angreifer kann beliebigen Code ausführen |
Patch | Security Rollup Package |
Abhilfe | Security Rollup Package installieren |
Informationen |
Neu: Session ID Cookies und ASP-Seiten
Session ID Cookies werden nach erfolgreicher Authentisierung eines Benutzers auf einer Webseite an den Browser geschickt. Dieser kann den Cookie beim Besuch weiterer Webseiten desselben Servers präsentieren. Somit bleibt die einmal erfolgte Authentisierung während der Session erhalten. Diese Vorgehensweise findet man recht häufig bei Online-Shops.
RFC 2109 unterscheidet zwischen "sicheren" und "unsicheren" Cookies: Das soll verhindern, dass der Browser einen innerhalb einer SSL-Verbindung übertragenen "sicheren" Cookie außerhalb des verschlüsselten Kommunikationskanals verwendet.
Genau diese Unterscheidung bekommt der IIS nicht hin: Microsofts Webserver ist nicht imstande, innerhalb einer ASP-Webseite erzeugte Cookies als "sicher" zu markieren.
Dadurch präsentiert ein Browser den innerhalb einer SSL-Verbindung übertragenen Cookie auch bei Klartextanfragen an den IIS. Ein Angreifer, der den Datenverkehr zwischen Browser und Webserver abhört, kann somit den im Klartext übertragenen Cookie abfangen und sich bei bestehender Session als der angemeldete Benutzer ausgeben. Erst wenn dieser sich beim Webserver abmeldet, verliert der Session ID Cookie seine Gültigkeit.
Datum | 23.10.2000 |
|---|---|
| |
Betrifft | IIS 4.0 und 5.0 |
Wirkung | Abfangen von Session ID Cookies |
Patch | Security Rollup Package |
Abhilfe | Security Rollup Package installieren |
Informationen |
Neu: DoS-Attacke über Escapesequenzen
Sonderzeichen lassen sich in URLs über Escape-Sequenzen kodieren. Diese Sequenzen werden durch das Prozentzeichen eingeleitet, gefolgt vom ASCII-Wert des Sonderzeichens. So steht etwa %2F für den normalen Schrägstrich, %20 für das Leerzeichen.
Weist eine URL zu viele Escape-Zeichen auf, die in einer bestimmten Reihenfolge vorliegen, gerät Microsofts Webserver IIS aus dem Tritt: Er widmet diesem Prozess bis zu 100 Prozent der CPU-Zeit und kann andere Aufgaben nicht mehr erledigen. Dieses Verhalten lässt sich für eine DoS-Attacke nutzen, wenn ein Angreifer fortwährend manipulierte Anfragen schickt.
Datum | 12.04.2000 |
|---|---|
| |
Betrifft | IIS 4.0 und 5.0 |
Wirkung | IIS reagiert nicht mehr auf Anfragen |
Patch | Security Rollup Package |
Abhilfe | Security Rollup Package installieren |
Informationen |
Neu: Default-Berechtigungen kompromittieren Systemsicherheit
Die Standardberechtigungen für vier mit NT 4.0 installierte Registry-Schlüssel reißen Sicherheitslöcher auf. Dadurch können auch User ohne Administratorrechte bestimmte kritische Werte verändern:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\ Windows NT\\CurrentVersion\\AeDebug. Über diesen Eintrag lässt sich ein Debugger festlegen, der dem Administrator im Falle eines Absturzes Diagnosemöglichkeiten bietet. Eine Manipulation der Schlüsselwerte sorgt dafür, dass ein anderes Programm als der Debugger ausgeführt wird.
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\ Windows\\CurrentVersion\\Explorer\\User Shell Folders. Hier finden sich unter anderem Informationen über einen von allen Usern eines Rechners gemeinsam genutzten Autostart-Ordner. Verbiegt ein Hacker diese Pfadangaben auf ein anderes Verzeichnis, lassen sich dort untergebrachte Programme mit den Rechten eines anderen Benutzers auf dem Rechner ausführen.
HKEY_LOCAL_MACHINE\\SOFTWARE\\ Microsoft\\DataFactory und HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\ Services\\W3SVC\\Parameters\\ADCLaunch. Diese beiden Schlüssel bestimmen die Sicherheitseinstellungen der Remote Data Services (RDS), die Teil von Microsofts Data Access Components (MDAC) sind. Mit Hilfe von RDS können Webclients etwa SQL-Abfragen an Datenbanken auf einem Host richten. Durch Manipulation der Sicherheitseinstellungen kann ein Unberechtigter auf beliebige Daten innerhalb der durch die RDS zugänglichen Datenbanken zugreifen.
Datum | 09.03.2000 |
|---|---|
| |
Betrifft | Windows NT 4.0 S, W |
Wirkung | Auführen beliebigen Codes; Ausspähen von Daten |
Patch | Security Rollup Package |
Abhilfe | Security Rollup Package installieren |
Informationen |
Neu: Attacke über RTF-Viewer
Microsoft hat in die Windows-Betriebssysteme einen RTF-Viewer integriert, über den Applikationen wie Wordpad und Outlook entsprechende Dateien anzeigen. Bringt ein Angreifer in den Steuerungsblock einer RTF-Datei eine bestimmte Befehlssequenz unter, löst diese einen Pufferüberlauf aus.
Eine auf diese Weise manipulierte E-Mail im RTF-Format kann durchaus einigen Ärger verursachen: Ist die Vorschaufunktion des Mailclients aktiv, stürzt er beim Versuch, die Nachricht anzuzeigen, ab. Auch ein Neustart des Programms hilft nicht, solange es nicht gelingt, die Mail zu löschen oder die Vorschaufunktion abzuschalten.
Datum | 17.01.2000 |
|---|---|
| |
Betrifft | Windows 9x; NT 4.0 S, W |
Wirkung | Programmabsturz bei Anzeige von RTF-Dateien |
Patch | Security Rollup Package |
Abhilfe | Security Rollup Package installieren |
Informationen |
Update: C2-Sicherheit für Windows NT
Während der C2-Zertifizierung von Windows NT sind einige Schwächen ans Tageslicht gekommen, wie etwa falsche ACLs bei Jet-Datenbankzugriffen oder eine mögliche Rechte-Eskalation bei Zugriffen auf bestimmte Gerätetreiber.
Zudem enthält der dazugehörige Leitfaden wertvolle Hinweise für eine optimale Sicherheitskonfiguration.
Datum | 13.12.1999 |
|---|---|
| |
Betrifft | NT 4.0 S, W |
Wirkung | Verschiedene Bugs, die eine Rechte-Eskalation ermöglichen. |
Patch | Security Rollup Package |
Abhilfe | Security Rollup Package installieren |
Informationen |
Update: Schwache Verschlüsselung in Syskey
Das Programm Syskey soll eigentlich dazu dienen, die Passwort-Datenbank von Windows NT durch zusätzliche Verschlüsselung vor Hackern zu schützen. Allerdings verwendet Syskey immer wieder dieselbe Schlüsselfolge für einen Teil der Verschlüsselung. Das schwächt den Schutz erheblich.
Wenn Sie die zusätzliche Verschlüsselung durch Syskey nutzen, sollten Sie den Patch sofort installieren.
Der Patch behebt zusätzlich ein Problem mit dem lokalen Sicherheitsdienst von Windows NT. Dieser lässt sich durch spezielle Aufrufargumente in einigen API-Funktionen abschießen. Dazu muss der Hacker jedoch auf dem Rechner ein Programm starten, dass diese Aufrufe ausführt.
Datum | 13.12.1999 |
|---|---|
| |
Betrifft | NT 4.0 S, W |
Wirkung | Hacker können Passworte entschlüsseln oder den LSA-Dienst zum Absturz bringen |
Patch | Security Rollup Package |
Abhilfe | Security Rollup Package installieren |
Informationen |
Update: BIOS-Probleme mit Jahr 2000
Das NT-Servicepack 5 enthält bereits einen Bugfix für ein Rollover-Problem mit älteren BIOS-Versionen, allerdings versagt dieser in Zeitzonen, die keine Sommerzeit verwenden sowie auf Multiprozessor-Maschinen.
Der ursprüngliche Bug tritt ohnehin nur zu Tage, wenn der Rechner am 01.01.2000 zwischen 00:00 und 01:00 Uhr rebootet wird, und betrifft nur Rechner mit älteren BIOS-Versionen, die das Jahrhundert-Byte nicht automatisch korrigieren.
Außerdem wird auf manchen Multiprozessor-Rechnern die Sommerzeit erst einige Stunden später eingestellt oder sogar erst beim nächsten Reboot.
Dies ist inzwischen der zweite Update des BIOS-Fixes. Wer noch die erste Version vom 1.9. hat und noch kein Servicepack 6a, sollte diese neue Version holen.
Datum | 16.11.1999 |
|---|---|
| |
Betrifft | NT 4.0 S, W |
Wirkung | Falsche Zeit nach Jahreswechsel |
Patch | Servicepack 6a |
Abhilfe | Servicepack 6a installieren |
Informationen |
Update: Y2K für Konsole
Der Konsolenbefehl "net user /times" funktioniert ab 1.1.2000 nicht mehr korrekt. Ab diesem Datum gibt es nur noch die Fehlermeldung, dass ein ungültiges Datum angegeben wurde.
Datum | 16.11.1999 |
|---|---|
| |
Betrifft | NT S, W 3.51, 4.0 |
Wirkung | Befehl "net user /times" funktioniert nicht mehr |
Patch | Servicepack 6a |
Abhilfe | Servicepack 6a installieren |
Informationen |
Update: Verlust von Benutzerprofilen
Wenn Windows NT beim Logon ein Benutzerprofil nicht laden kann, weil nicht genug Speicher vorhanden ist, erzeugt es ein Neues und überschreibt damit das Bestehende.
Dieser Bug tritt nur auf, wenn irgendwo im System ein Speicherleck existiert. Dadurch verringert sich nach und nach der verfügbare Systemspeicher, bis nicht mehr genug frei ist.
Datum | 29.09.1999 |
|---|---|
| |
Betrifft | NT 4.0 S, W |
Wirkung | Benutzerprofile gehen verloren und werden überschrieben |
Patch | Servicepack 6a |
Abhilfe | Servicepack 6a installieren |
Informationen |
Update: Spoofed Route Pointer
Ein Sicherheitsloch in Windows NT kann unter gewissen Umständen dafür sorgen, dass ein Source Routing durchgeführt wird, obwohl es dediziert abgeschaltet ist.
Dieser Bug hat nur auf Rechnern einen Effekt, die mehr als eine Netzwerkverbindung über Karte oder DFÜ haben, da dann der Absender eines Netzwerkspakets erzwingen kann, dass es in die zweite Verbindung geroutet wird.
Datum | 20.09.1999 |
|---|---|
| |
Betrifft | Windows 9x; NT 4.0 S, W |
Wirkung | Hacker können unbemerkt ihre Pakete in vermeintlich geschützte Netzwerksegmente leiten. |
Patch | Servicepack 6a |
Abhilfe | Servicepack 6a installieren |
Informationen |
Update: Y2K für NNTP-Server
Der NNTP-Dienst von IIS 4.0 (Internet Information Server) und vom Commercial Internet System rechnet zweistellige Jahresangaben falsch um. Beispielsweise wird aus 00 eine Jahreszahl von 1900 statt 2000.
Dieser Bug betrifft nur Systeme, die die angegebenen Sotfwarepakete benutzen und den NNTP-Dienst anbieten.
Datum | 20.09.1999 |
|---|---|
| |
Betrifft | NT mit IIS 4.0 oder Commercial Internet System |
Wirkung | NNTP macht aus der Angabe 00 das Jahr 1900 |
Patch | Servicepack 6a |
Abhilfe | Servicepack 6a installieren |
Informationen |
Update: Fehlstart wegen vieler Drucker
Der Unterschlüssel System von HKEY_LOCAL_MACHINE in der Registry enthält normalerweise nur die für den Systemstart wichtigsten Informationen. Unter bestimmten Umständen kann es allerdings vorkommen, dass Dienste unzulässig viele Daten im CurrentControlSet\\Services Unterschlüssel ablegen. Das sind zum Beispiel der Druckerdienst und der Taskscheduler.
Der Systemschlüssel wird vom Bootloader eingelesen, dem jedoch nur 16 MByte RAM während des Bootens zur Verfügung stehen. Und diesen Speicher beanspruchen auch noch die HAL, der Kernel und Treiber. Reicht der Speicher nicht aus, kann das System nicht starten.
Dieser Bug tritt nur sehr selten auf, weil meistens nicht so viele Daten im betroffenen Teil der Registry gespeichert sind. Microsoft gibt an, dass das Problem erst bei 900 Druckern auftritt.
Datum | 27.08.1999 |
|---|---|
| |
Betrifft | NT S, W 3.5x, 4.0 |
Wirkung | Der Rechner startet nicht mehr |
Patch | Servicepack 6a |
Abhilfe | Servicepack 6a installieren |
Informationen |
Update: Bei 4 Millionen Dateien ist Schluss
Befinden sich auf einem NTFS-Volume mehr als vier Millionen Dateien, kommt es zu erheblichen Problemen mit diesem Volume. Beispielsweise können dann manche Dateien nicht mehr gelesen werden oder gelöschte Dokumente tauchen wieder auf.
Das Problem liegt in der Master File Table von NTFS, die bei so vielen Dateien größer als 4 GByte ist. Dabei kommt es dann zu falschen Berechnungen für die Positionierung neuer Dateien. So werden bestehende Dateien teilweise überschrieben.
Datum | 20.08.1999 |
|---|---|
| |
Betrifft | NT 4.0 S, W |
Wirkung | Daten gehen verloren oder werden verändert |
Patch | Servicepack 6a |
Abhilfe | Servicepack 6a installieren |
Informationen |
Update: CSRSS stoppt Rechner
Wird die maximale Anzahl an Prozessen überschritten, die gleichzeitig auf eine Benutzereingabe warten, stoppt der NT-Rechner. Der Bug hängt mit der Art zusammen, wie das Client Server Runtime Subsystem (CSRSS) mit Prozessen umgeht, die auf eine Eingabe warten. Da das Subsystem nur lokale Anforderungen bedient, ist eine entfernte Attacke über diesen Bug nicht möglich.
Datum | 28.07.1999 |
|---|---|
| |
Betrifft | NT 4.0 S, W |
Wirkung | Dieser Bug ermöglicht eine lokale Denial-of-Service-Attacke auf den NT-Rechner, kann sich aber auch bemerkbar machen, wenn ein Dienst schlecht programmiert ist. |
Patch | Servicepack 6a |
Abhilfe | Servicepack 6a installieren |
Informationen | Microsoft Knowledgebase |
Update: Maus und Tastatur nach IOCtl-Aufruf tot
Über einen bestimmten IOCtl-Funktionsaufruf an Maus oder Tastatur kann ein Programm verhindern, dass diese Geräte auf Anfragen des Betriebssystems reagieren.
Datum | 28.07.1999 |
|---|---|
| |
Betrifft | NT 4.0 S, W |
Wirkung | Diese unzureichende Abschirmung ermöglicht einen lokalen DoS-Angriff auf das System. Daten und Sicherheit des NT-Systems sind durch diesen Bug nicht gefährdet. |
Patch | Servicepack 6a |
Abhilfe | Servicepack 6a installieren |
Informationen | Microsoft Knowledgebase |
Update: Sicherheitsdienst anfällig für DoS-Angriff
Die Local Security Authority (LSA) von Windows NT ermöglicht die programmgesteuerte Verwaltung von Benutzerrechten. Einige Methoden der LSA-API haben jedoch ungeprüfte Pufferspeicher, die bei speziellen Aufrufen den Dienst zum Absturz bringen können.
Datum | 28.07.1999 |
|---|---|
Betrifft | NT 4.0 S, W |
Wirkung | Dieser Bug ermöglicht eine lokale DoS-Attacke auf den Rechner. Daten und Sicherheit sind nicht gefährdet. |
Patch | Servicepack 6a |
Abhilfe | Servicepack 6a installieren |
Informationen |
Update: Telefonbuch kompromittiert DFÜ-Netzwerk
Ein speziell gestalteter Eintrag im Telefonbuch des DFÜ-Netzwerks kann auf Grund eines ungeprüften Pufferspeichers ein willkürliches Programm ausführen. Da der Client im Sicherheitskontext des lokalen Rechners arbeitet, erhält auch der Angreifer die Privilegien des Computers.
Datum | 28.07.1999 |
|---|---|
| |
Betrifft | NT 4.0 S, W |
Wirkung | Zwar ist lokaler Zugriff auf den Rechner notwendig, um den Bug auszunutzen, aber die möglichen Folgen sind erheblich. |
Patch | Servicepack 6a |
Abhilfe | Servicepack 6a installieren |
Informationen |
Update: Speicherloch durch Performancezähler
Wenn ein Programm versucht, auf einen nicht installierten Performancezähler zuzugreifen, wird Speicherplatz nicht korrekt freigegeben. Somit verringert sich der verfügbare Speicherplatz stetig. Der belegte Speicher wird nur durch einen Neustart wieder freigegeben.
Tritt nur auf, wenn Programme gestartet sind, die auf die Zähler zugreifen, wie etwa das Healthmon-Tool im Systems Management Server.
Datum | 19.07.1999 |
|---|---|
| |
Betrifft | NT 4.0 S |
Wirkung | Gerade bei Servern sind Speicherlöcher gefährlich, weil sie die Systemleistung zunehmend beeinträchtigen. |
Patch | Servicepack 6a |
Abhilfe | Servicepack 6a installieren |
Informationen |
Update: Benutzerdaten bleiben im Cache
Wenn die Option "Passwort speichern" beim DFÜ-Netzwerk ausgeschaltet wird, stehen User-ID, Passwort und Domainnamen immer noch im Cache in der Registry und können von dort ausgelesen werden.
Mit den Informationen aus der Registry kann sich ein Hacker Remote-Zugang zu dem angewählten Rechner verschaffen.
Datum | 26.05.1999 |
|---|---|
| |
Betrifft | NT 4.0 S |
Wirkung | Trojaner können die Einwähldaten auslesen und an einen Hacker übermitteln. |
Patch | Servicepack 6a |
Abhilfe | Servicepack 6a installieren |
Informationen |
Update: Hackerangriff über Hilfedateien
Das Hilfetool von Windows NT zur Anzeige von Hilfedateien lässt sich mit einer speziell angepassten Hilfedatei überlisten. Die Folge ist, dass unautorisierte Programme auf dem Rechner ablaufen können. Ein ungeprüfter Pufferspeicher verursacht dieses Problem im Zusammenhang mit der Tatsache, dass alle Benutzer Schreib-Lese-Rechte auf das Verzeichnis %Systemroot%\\Help haben.
Datum | 17.05.1999 |
|---|---|
| |
Betrifft | NT 4.0 S, W |
Wirkung | Dieser Bug erlaubt es Trojanern, sich ins System einzuschleusen und Daten auszuspähen, zu vernichten oder zu verändern. |
Patch | Servicepack 6a |
Abhilfe | Servicepack 6a installieren |
Informationen |
Neu: WebDAV-Anfragen immer im User-Kontext
Mit WebDAV, einer Erweiterung von HTTP, lassen sich Webinhalte von einem entfernten Standort aus erstellen und verwalten. Die Komponente in Microsoft-Produkten, die den Zugriff auf WebDAV-Ressourcen ermöglicht, heißt Internet Publishing Provider (IPP). Der IPP sollte Anfragen des Anwenders von Anfragen durch ein Skript, das im Browser abläuft, unterscheiden können.
Genau diese Unterscheidung findet durch einen Implementierungsfehler aber nicht statt: Der IPP behandelt alle Anfragen im Sicherheitskontext des Users. Von dessen Berechtigungen hängt es also ab, welchen Schaden ein Angreifer über diese Lücke verursachen kann. Denkbar wäre beispielsweise ein Zugriff aufs Intranet oder auf webbasierte E-Mail.
Datum | 18.04.2001 |
|---|---|
| |
Betrifft | Windows 9x, Me, NT, 2000 |
Wirkung | Zugriff auf User-Daten |
Patch | |
Abhilfe | Patch installieren |
Informationen |
Rasman nicht geschützt
Normalerweise sind die Dateien von Systemdiensten gegen unberechtigte Veränderung geschützt und auch die dazugehörigen Konfigurationseinträge. In der Zugriffskontroll-Liste der Datei rasman.exe ist jedoch ein Fehler, der es einem Hacker erlaubt, den Verweis auf rasman.exe zu ändern. Damit wird nicht mehr rasman.exe gestartet, wenn der Verbindungsmanager aufgerufen wird, sondern ein anderes Programm. Das läuft dann im Systemkontext und hat entsprechende Rechte, im Extremfall auf ein ganzes Netzwerk.
Dieser Angriff lässt sich auch per Netzwerk ausführen und ist daher und wegen der möglichen Folgen extrem gefährlich.
Datum | 30.09.1999 |
|---|---|
| |
Betrifft | NT 4.0 S, W |
Wirkung | Hacker können die Datei rasman.exe ersetzen und sich damit zusätzliche Rechte verschaffen |
Patch | Es gibt lediglich einen Patch für die englische Version von Windows NT. |
Abhilfe | Der Patch kann bedenkenlos ausgeführt werden, weil er nur die Einträge in der ACL anpasst. |
Informationen |
NT löscht Installationsdatei nicht
Windows NT lässt sich skriptgesteuert installieren. Dazu wird eine Datei namens unattend.txt verwendet, die gegebenenfalls auch sensitive Informationen wie Benutzernamen oder Passwörter enthält. Die Installationsroutine erzeugt daraus eine temporäre Datei im Systemverzeichnis. Nach Abschluss der Installation "vergisst" NT allerdings, diese Datei wieder zu löschen.
Über diese Datei kann ein interaktiver Benutzer Zugriff auf sensitive Daten erhalten.
Datum | 10.08.1999 |
|---|---|
| |
Betrifft | NT 4.0 S, W |
Wirkung | Benutzerdaten können ausgespäht werden |
Patch | Keiner |
Abhilfe | Die Dateien %windir%\\system32\\$winnt$.inf und %windir%\\system32\\$nt4pre$.inf nach einer skriptgesteuerten Installation von Hand löschen. |
Informationen |
Fragmented IGMP Packet
Fragmentierte IGMP-Pakete können eine Vielzahl von Problemen auf einer Windows NT Maschine verursachen. Sie können jedoch nicht wie bei Windows 9x zum Systemabsturz führen.
IGMP-Pakete sind spezielle IP-Pakete. Somit sind nur Rechner in einem TCP/IP-Netzwerk - also auch Computer mit Internetanbindung - davon betroffen. Dieser Bug macht sich nur bemerkbar, wenn ein Hacker den Computer dediziert angreift.
Datum | 09.09.1999 |
|---|---|
| |
Betrifft | Windows 9x; NT 4.0 W, S |
Wirkung | Hacker können den Rechner lahm legen |
Patch | Es gibt lediglich einen Patch für die englische Version von Windows NT. |
Abhilfe | Der Patch sollte auf Rechnern im Netzwerk installiert werden. |
Informationen |
NT hängt bei Diskettenzugriff
Bei Drag&Drop-Operationen auf das Diskettenlaufwerk bleibt das System hängen.
Der Grund ist ein Speicherkonflikt mit dem Grafiksubsystem. Manche Grafikkarten verwenden ein Feature namens Uncached Speculative Write Combining (USWC). Dies führt in Verbindung mit manchen BIOS-Versionen zum beschriebenen Verhalten.
Da Grafikperformance bei Windows NT nicht gerade das wichtigste Feature ist, kann man USWC getrost abschalten, wenn der Bug auftritt.
Datum | 04.02.1999 |
|---|---|
| |
Betrifft | NT 4.0 W, S |
Wirkung | Der Rechner bleibt stehen |
Patch | Keiner |
Abhilfe | Fügen Sie mit dem Registry Editor unter HKEY_LOCAL_MACHINE\\SYSTEM\\ CurrentControlSet\\Control \\GraphicsDrivers den Schlüssel DisableUSWC hinzu. Klasse bleibt leer. |
Informationen |
RAS-Server trennt Verbindung nicht
Der RAS-Server von Windows NT trennt NT-basierte RAS-Clients nicht automatisch nach einer bestimmten Zeitspanne, wenn keine Daten übertragen werden. Der Grund ist, dass die Zeitspanne per Default 20 Minuten beträgt, der Client jedoch alle zwölf Minuten ein so genanntes Host-Announcement-Paket schickt.
Hohe Telefonrechnungen sind die Folge dieses Bugs, weil Verbindungen nur manuell getrennt werden können. Damit kann sich unter Umständen ein anderer Mitarbeiter nicht einloggen, weil die Leitung belegt ist.
Abhilfe schafft folgendes Verfahren:
Die beiden Zeitparameter ändern: Entweder die Announce-Zeit auf dem Client erhöhen oder die Inactivity-Zeitspanne reduzieren. Die entsprechenden Registry-Einträge sind:
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Services\\LanmanServer\\parameters
Announce REG_DWORD 1 bis 65535 Sekunden, Default: 720
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Services\\RemoteAccess\\parameters
Autodisconnect REG_DWORD 0 bis 1000 Minuten, Default: 20
Datum | 29.09.1999 |
|---|---|
| |
Betrifft | NT 4.0 S |
Wirkung | Verbindungen bleiben lange bestehen und verursachen Kosten |
Patch | Nur auf Anfrage bei Microsoft. |
Abhilfe | Siehe Text |
Informationen | Microsoft Microsoft Knowledgebase |
Serverbasierte Profile nicht gespeichert
Wenn ein Benutzer den Internet Connection Wizard (ICW) verwendet, um eine neue Internetverbindung zu erzeugen, wird sein serverbasiertes Profil unter Umständen nicht gespeichert. Der Grund ist, dass ICW den Telefondienst (TAPI) verwendet und einen Registry-Schlüssel über eine API-Funktion öffnet und erst wieder schließt, wenn die TAPI beendet wird. Dummerweise öffnet die API-Funktion zusätzlich den zugehörigen Root-Schlüssel HKEY_CURRENT_USER. Damit ist der Schlüssel immer noch geöffnet, wenn sich der User ausloggt, und das Profil kann nicht gespeichert werden.
Dieser Bug betrifft nur NT-Benutzer im Netzwerken mit serverbasierten Profilen.
Datum | 29.09.1999 |
|---|---|
| |
Betrifft | NT 4.0 S, W |
Wirkung | Benutzerprofile werden nicht gespeichert |
Patch | Nur auf Anfrage bei Microsoft. |
Abhilfe | Den Telefondienst vor dem Ausloggen manuell beenden. |
Informationen |
Drucker wird gerade benutzt
Beim Drucken auf einen lokalen Drucker kann es zu folgender Fehlermeldung kommen:
"Fehler beim Schreiben auf LPT1: Die angeforderte Ressource wird gerade benutzt. Wollen Sie wiederholen oder abbrechen?"
Es handelt sich dabei um ein Timeout-Problem, das sich auch ohne Patch leicht beheben lässt: Rufen Sie die Eigenschaften des Druckeranschlusses in der Systemsteuerung auf und ändern den Wert für Übertragungswiederholung auf 90 oder mehr.
Datum | 26.02.1999 |
|---|---|
| |
Betrifft | NT S, W 3.5x, 4.0 |
Wirkung | Fehlermeldung beim Drucken |
Patch | Keiner |
Abhilfe | Rufen Sie die Eigenschaften des Druckeranschlusses in der Systemsteuerung auf und ändern den Wert für Übertragungswiederholung auf 90 oder mehr. |
Informationen |
WINS Server vergisst Namen
Ein Windows Internet Name Service (WINS) Server kann unter Umständen NetBIOS-Namen nicht mehr per WINS auflösen. Weitere Probleme können mit der Domänensynchronisation, Netzwerksuche und Verbindungen auftreten. Ruft man auf dem Server den Befehl ipconfig /all auf, ist der Eintrag für den primären WINS-Server leer.
Dieses Problem tritt auf, wenn der Rechner nicht korrekt konfiguriert ist.
Dieses Problem besteht schon seit NT 3.5. Microsoft hätte inzwischen nun wirklich den Konfigurationsdialog so anpassen können, dass Fehleinstellungen nicht mehr möglich sind.
Datum | 18.02.1999 |
|---|---|
| |
Betrifft | NT S 3.5x, 4.0 |
Wirkung | Der WINS-Server arbeitet nicht korrekt |
Patch | Keiner |
Abhilfe | Microsoft empfiehlt, dass der WINS-Server in der IP-Konfiguration auf sich selbst als primärer und sekundärer WINS-Server zeigt und auf keinen anderen. |
Informationen |