Microsoft bringt Patches für RAS, IIS und SQL

Microsoft hat erneut drei Patches für Lücken in seiner Software veröffentlicht. Die kritischste davon ist ein möglicher Buffer Overflow im Remote Access Service (RAS) von Windows NT, 2000 und XP.

In den genannten Windows-Versionen ist der Service nativ vorhanden, er kommt aber auch im Routing and Remote Access Server (RAS) für Windows NT 4.0. Im Telefonbuch des RAS steckt ein ungeprüfter Puffer. Über den ist es nach Angaben von Microsoft möglich, wahlweise das System abstürzen zu lassen oder Code auszuführen. Links zu den Patches finden Sie im Security Bulletin MS02-029.

Die beiden weiteren Sicherheitsprobleme sind ebenfalls auf ungeprüfte Speicherbereiche zurückzuführen. Einen Patch braucht Microsoft SQLXML. Die Software ermöglicht die Ausgabe von XML unter SQL Server. Der ungeprüfte Puffer steckt in den ISAPI-Extensions. Bulletin und Patch finden Sie auf dieser Seite.

Schließlich braucht auch der IIS aus Redmond einen Patch. Die Probleme sollen dabei die nämlichen sein, die Microsoft bereits mit dem General-Patch Anfang April beseitigt glaubte. Über modifizierte Anfragen lassen sich IIS 4.0 und 5.0 überlisten und führen Code aus. Weitere Sicherheitslücken finden Sie in der tecHistory beschrieben. (uba)