MS: Kritische Lücken in MSN-Chat und Gopher

Microsoft hat sich zweier ungeprüfter Puffer angenommen, die sowohl im MSN Chat Control als auch in der für Gopher zuständigen Kontrolle sitzen. Über die Lecks können Angreifer Code auf Benutzereben ausführen, Microsoft stuft beide als "critical" ein.

Was die Gopher Kontrolle betrifft, muss Microsoft derzeit noch einen Patch schuldig bleiben. Stattdessen sollten Benutzer händisch eingreifen, um die Lücke provisorisch abzudichten. Der Workaround sieht vor, dass im Menüpunkt "Internetoptionen" des Internet Explorers ein ungültiger Gopher-Proxy eingetragen wird. Die Schritt-für-Schritt-Anleitung finden Sie im zugehörigen Security Bulletin (MS02-027) im Unterpunkt Frequently Asked Questions. Microsoft zählt Internet Explorer, Proxy Server und Internet Security Acceleration Server zu den von der Lücke betroffenen Anwendungen.

Beim Loch im ActiveX-Control der MSN Chatfunktion hat Microsoft dagegen zwei Patches anzubieten. Der erste, Anfang Mai veröffentlichte, hat nach den jetzigen Erkenntnissen das Problem nicht vollständig beseitigt. Betroffen sind MSN Chat, MSN Messenger und Exchange Instant Messenger. Der neue Patch soll gegen mögliche Buffer Overflow-Attacken helfen. Sie finden ihn über das Security Bulletin MS02-022.

Zusätzliche Informationen bietet der Report Aktuelle IE-Sicherheitslücken. (uba)