Frische Sicherheitslöcher bei Direct-X, SQL-Server und NT

In insgesamt drei Security-Bulletins warnt Microsoft eine Woche nach dem letzten Rundumschlag schon wieder vor zum Teil gravierenden Sicherheitslücken in seinen Produkten. Für den gravierendsten ist Direct-X verantwortlich, eine Sammlung von Verfahrenanweisungen für die Behandlung von Grafik- und Multimedia-Anwendungen. Aber auch die beiden weiteren Schwachstellen in SQL-Server-Produkten und im Betriebssystem Windows NT erlauben es Außenstehenden, korrupten Code auf fremden Rechnern zu platzieren und dort auszuführen.
Betroffen sind alle Versionen von Direct-X von 5.2 bis hin zur aktuellen 9.0a, das heißt von Windows 98 bis Windows Server 2003. Microsoft hat auch wegen der enorm großen Verbreitung den Fehler mit seiner höchsten Warnstufe versehen. Direct-X ist unter anderem zuständig für die Verarbeitung von Midi-Dateien. Eine präparierte Datei kann den Direct-X-Buffer vollaufen lassen und im Zuge dessen mitgebrachten Code ausführen. Darauf wurde Microsoft vom Sicherheitsdienstleister E-Eye Security hingewiesen.

Immerhin verhindern die Default-Sicherheitseinstellungen, dass etwaiger Code ohne Zutun des Anwenders ausgeführt wird. Aber ein Klick auf eine per Mail erhaltene Datei würde zur Aktivierung genügen. Bisher sei kein Vorfall bekannt geworden, bei dem der Fehler ausgenutzt wurde, heißt es in dem Sicherheits-Bulletin von Microsoft. Ein Patch, mit dem die Schwachstelle abgedichtet werden kann, ist beim Hersteller verfügbar.

Darüber hinaus warnt Microsoft vor einer “mittelgroßen” Gefahr durch Schwachstellen im SQL Server 7.0, im MS Data Engine, SQL Server 2000, Desktop Engine 2000 und SQL Server 2000 Desktop Engine. Auch dafür ist ein Patch zum Download bereitgestellt. Das Betriebssystem NT 4.0 Server, auch in der Terminal Services Edition, ist schließlich von einer “moderaten” Gefährdung betroffen. Es gebe eine neue Möglichkeit, Denial-of-Service-Angriffe gegen die Rechner zu fahren. Geeignete Maßnamen sind ebenfalls im aktuellen Bulletin beschrieben.

Im laufenden Monat haben sich die Sicherheitswarnungen bei Microsoft erneut gehäuft. ITler und Analysten halten den Redmondern immerhin zugute, dass sie ihre Informationspolitik verbessert hätten und inzwischen schneller und umfassender informierten. Einen gewaltigen Imageschaden trägt allerdings das neueste Server-OS Windows Server 2003 davon. Als erstes Großprojekt unter den Augen der hauseigenen ‘Trustworthy Computing’-Initiative hat das Betriebssystem weitaus mehr Aufmerksamkeit der Microsoft-Tester erfahren – aber offenbar noch immer nicht genug. Niemand erwarte absolut fehlerfreie Software, heißt es in der Branche, aber die Menge an Problemen sei doch erstaunlich.

Silicon-Redaktion

Recent Posts

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago

Klinikum Frankfurt an der Oder treibt Digitalisierung voran

Interdisziplinäres Lenkungsgremium mit Experten aus den Bereichen IT, Medizin, Pflege und Verwaltung sorgt für die…

5 Tagen ago