Eines der Sicherheits-Updates vom vergangenen Patchday funktionierte unter Windows 2000 nicht korrekt, sodass eine kritische Lücke offen blieb. Microsoft hat deshalb eine neue Version herausgegeben, die diesmal die Lücke wirklich schließen soll. Dabei handelt es sich um einen Fehler in dem XMLHTTP ActiveX-Control der XML Core Services (MSXML), die zur Verarbeitung von Server-Antworten benutzt werden. Ein präparierter Webserver konnte darüber Code in ein System schmuggeln. Um das Problem zu beheben, setzt der Patch ein so genanntes Kill Bit, sodass bestimmte Objekte nicht mehr von externen Seiten aufgerufen und Fehler darin nicht mehr ausgenutzt werden können.
Unter Windows XP und Server 2003 funktionierte bereits die erste Version des Updates. Warum das für Windows 2000 nicht gelang, schreiben die Redmonder in ihrer Ankündigung im Blog des Microsoft Security Response Center nicht. Microsoft empfiehlt allen Windows-2000-Anwendern, den neuen Patch so schnell wie möglich zu installieren. Insbesondere Anwender in Unternehmensnetzen dürften davon betroffen sein, da dort oft noch Windows 2000 zum Einsatz kommt.
In den US-Medien wird Microsoft für den Lapsus bereits heftig kritisiert. "Wie schlecht muss eine Qualitätssicherung sein, damit einem so etwas durchrutscht?", giftete Russ Cooper von Cybertrust. Einmal mehr zeigt sich auch, wie wichtig es gerade in Unternehmensnetzen sein kann, mit "Hacker-Tools" zu prüfen, ob der Hersteller hält, was er verspricht und ob die Lücke wirklich geschlossen ist. Andernfalls muss man sich allein auf dessen Aussage verlassen – was nach solchen Vorfällen den Anwendern schwer fallen dürfte.
Siehe dazu auch:
* Information on re-release of MS06-061, Eintrag im Blog des MSRCTEAM
Quelle und Links :
http://www.heise.de/security/news/meldung/79781
