Lücken in Windows 2000 schliessen sich
Microsoft veröffentlicht zwei Sicherheits-Updates für Windows 2000.
13. September 2000
Auch bei Windows 2000 kann Microsoft Sicherheitslücken nicht völlig ausschliessen. Kürzlich wurden zwei separate Security-Updates veröffentlicht. Mit diesen soll die Möglichkeit einer Denial-Of-Service-Attacke (DoS) ausgeschlossen und zudem verhindert werden, dass User ihre Sicherheitseinstellungen mit Administrator-Status versehen können.
Über das DoS-Leck kann ein User ein speziell programmiertes RPC-Packet (Remote Call Procedure) an den primären Domain-Server schicken. Der Server wird dadurch nicht zum Absturz gebracht, jedoch können andere User keine Verbindung zur Domain mehr herstellen und sich nicht einloggen.
Das zweite Leck kommt nur zum Tragen, wenn ein User physischen Zugriff auf eine Administrator-Workstation hat. Beim Anschliessen einer Digitalkamera zum Beispiel wird ein sogenannter Still Image Service (SIS) auf der Workstation gestartet. Der Hacker kann dann über einen nicht kontrollierten Buffer des SIS die Workstation des Administrators manipulieren. Mark Read, Sicherheitsexperte von MIS Corporate Defense sagt dazu, Firmen hätten zwei Möglichkeiten: Entweder all ihren Mitarbeitern 100-prozentig zu vertrauen oder den Patch zu installieren. Das Update steht zum Download bereit. (mw)
Über das DoS-Leck kann ein User ein speziell programmiertes RPC-Packet (Remote Call Procedure) an den primären Domain-Server schicken. Der Server wird dadurch nicht zum Absturz gebracht, jedoch können andere User keine Verbindung zur Domain mehr herstellen und sich nicht einloggen.
Das zweite Leck kommt nur zum Tragen, wenn ein User physischen Zugriff auf eine Administrator-Workstation hat. Beim Anschliessen einer Digitalkamera zum Beispiel wird ein sogenannter Still Image Service (SIS) auf der Workstation gestartet. Der Hacker kann dann über einen nicht kontrollierten Buffer des SIS die Workstation des Administrators manipulieren. Mark Read, Sicherheitsexperte von MIS Corporate Defense sagt dazu, Firmen hätten zwei Möglichkeiten: Entweder all ihren Mitarbeitern 100-prozentig zu vertrauen oder den Patch zu installieren. Das Update steht zum Download bereit. (mw)
Artikel kommentieren
