Microsoft dementiert Universalpasswort

In einem Sicherheits-Bulletin hat Microsoft die Existenz einer Hintertür im Internet Information Server dementiert. Der Hersteller widerspricht damit einem Bericht des Wall Street Journal vom Freitag. Gleichzeitig wird aber ein Bug in der fraglichen DLL dokumentiert, der dennoch ein Sicherheitsrisiko birgt.

Wie Microsofts Leiter des Sicherheitszentrums, Steve Lipner, dazu kam das Loch gegenüber dem Wall Street Journal zu bestätigen (tecChannel berichtete), bleibt ungeklärt.

Einer der Entdecker des Problems, der Sicherheitsexperte Rain Forest Puppy, behauptet auf seiner Webseite jedoch weiterhin, zumindest der Download von .asp-Dateien (Microsofts Active Server Pages) sei durch den Bug möglich.

Russ Cooper, der die angesehene Sicherheits-Mailingliste NTBugtraq betreibt, ruft unterdessen zur Besonnenheit im Umgang mit dem Problem auf. Er beklagt sich unter anderem, dass die Angelegenheit sogar vom Nachrichtensender CNN hochgekocht worden sei.

Dieser PR-GAU für Microsoft ist jedoch nicht verwunderlich. Geht es hier doch um eine potentielle Angreifbarkeit von vermutlich hunderttausendenden von Web-Servern, wie von einem Firmenvertreter bestätigt wurde. Das Problem war dem Software-Monopolisten sogar einen Eintrag auf der Homepage des Unternehmens wert. Dort wird auf das aktuelle Sicherheits-Bulletin verwiesen, das drei Produkte als von dem Problem betroffen nennt:

Der IIS 4.0 wurde vor allem mit dem "Option Pack für Windows NT 4.0" in Umlauf gebracht, der Personal Web Server 4.0 ist Teil von neueren Versionen von Windows 95 und allen Ausgaben von Windows 98.

Microsoft gibt in diesem Bulletin an, das Problem noch zu untersuchen. Es handele sich aber generell nur um einen Buffer Overrun, der über DoS-Attacken dazu verwendet werden könnte, einen Server abstürzen zu lassen.

Als Abhilfe empfiehlt Microsoft den Umstieg auf Windows 2000, die Office 2000 Server-Extensions oder die Server-Extensions von Frontpage 2000. Vom bloßen Löschen der Datei "dvwssr.dll", die den Fehler enthält, ist bei Microsoft nicht die Rede. (nie)