Frische Sicherheitslöcher bei Direct-X, SQL-Server und NT

In insgesamt drei Security-Bulletins warnt Microsoft eine Woche nach dem letzten Rundumschlag schon wieder vor zum Teil gravierenden Sicherheitslücken in seinen Produkten. Für den gravierendsten ist Direct-X verantwortlich, eine Sammlung von Verfahrenanweisungen für die Behandlung von Grafik- und Multimedia-Anwendungen. Aber auch die beiden weiteren Schwachstellen in SQL-Server-Produkten und im Betriebssystem Windows NT erlauben es Außenstehenden, korrupten Code auf fremden Rechnern zu platzieren und dort auszuführen.
Betroffen sind alle Versionen von Direct-X von 5.2 bis hin zur aktuellen 9.0a, das heißt von Windows 98 bis Windows Server 2003. Microsoft hat auch wegen der enorm großen Verbreitung den Fehler mit seiner höchsten Warnstufe versehen. Direct-X ist unter anderem zuständig für die Verarbeitung von Midi-Dateien. Eine präparierte Datei kann den Direct-X-Buffer vollaufen lassen und im Zuge dessen mitgebrachten Code ausführen. Darauf wurde Microsoft vom Sicherheitsdienstleister E-Eye Security hingewiesen.

Immerhin verhindern die Default-Sicherheitseinstellungen, dass etwaiger Code ohne Zutun des Anwenders ausgeführt wird. Aber ein Klick auf eine per Mail erhaltene Datei würde zur Aktivierung genügen. Bisher sei kein Vorfall bekannt geworden, bei dem der Fehler ausgenutzt wurde, heißt es in dem Sicherheits-Bulletin von Microsoft. Ein Patch, mit dem die Schwachstelle abgedichtet werden kann, ist beim Hersteller verfügbar.

Darüber hinaus warnt Microsoft vor einer “mittelgroßen” Gefahr durch Schwachstellen im SQL Server 7.0, im MS Data Engine, SQL Server 2000, Desktop Engine 2000 und SQL Server 2000 Desktop Engine. Auch dafür ist ein Patch zum Download bereitgestellt. Das Betriebssystem NT 4.0 Server, auch in der Terminal Services Edition, ist schließlich von einer “moderaten” Gefährdung betroffen. Es gebe eine neue Möglichkeit, Denial-of-Service-Angriffe gegen die Rechner zu fahren. Geeignete Maßnamen sind ebenfalls im aktuellen Bulletin beschrieben.

Im laufenden Monat haben sich die Sicherheitswarnungen bei Microsoft erneut gehäuft. ITler und Analysten halten den Redmondern immerhin zugute, dass sie ihre Informationspolitik verbessert hätten und inzwischen schneller und umfassender informierten. Einen gewaltigen Imageschaden trägt allerdings das neueste Server-OS Windows Server 2003 davon. Als erstes Großprojekt unter den Augen der hauseigenen ‘Trustworthy Computing’-Initiative hat das Betriebssystem weitaus mehr Aufmerksamkeit der Microsoft-Tester erfahren – aber offenbar noch immer nicht genug. Niemand erwarte absolut fehlerfreie Software, heißt es in der Branche, aber die Menge an Problemen sei doch erstaunlich.

Silicon-Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

2 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

2 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

4 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

5 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

6 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

6 Tagen ago