140460

Microsoft dementiert Sicherheitsloch

Microsoft hat die Existenz einer geheimen Hintertür in seiner Webserver-Software dementiert. Die Behauptung, dass Hacker Zugriff auf Tausende von Internet-Angeboten erhalten können, sei falsch. Bestätigt habe man lediglich einen Fehler in der gleichen Software, durch den ein Internet-Server zum Absturz gebracht werden könne.

Microsoft hat die Existenz einer geheimen Hintertür in seiner Webserver-Software dementiert. Die Berichte des Wall Street Journals über ein verborgenes Passwort, mit dem Hacker Zugriff auf Tausende von Internet-Angeboten erhielten, seien falsch, so das Unternehmen. Bestätigt habe man lediglich einen Fehler in der gleichen Software, durch den ein Internet-Server zum Absturz gebracht werden könne. Betroffen seien ältere Versionen des Internet Information Server sowie Personal Web Server und der HTML-Editor Frontpage.

Microsoft hat inzwischen ein Sicherheits-Bulletin zu dem Problem herausgegeben. Demnach liegt der Fehler in der Datei dvwssr.dll, die zu Buffer Overruns führe und die Server damit anfällig für Denial-of-Service-Attacken (siehe Glossar) mache. Unter bestimmten Bedingungen seien auch unbefugte Zugriffe auf ASP-(Active Server Pages)-Seiten möglich. Ein geheimes Universal-Passwort, das Fremden den vollständigen Zugriff auf einen Web-Server erlaubt, existiere jedoch laut Microsoft nicht.

Betroffen seien auch nur Installationen, die das Windows NT 4.0 Option Pack, den Personal Web Server 4.0 oder die Frontpage 2000 Server Extensions, die als Teil von FrontPage 98 ausgeliefert wurden, einsetzen. Die normalen Server Extensions aus FrontPage 2000 sind dem Security-Bulletin zufolge dagegen nicht fehlerhaft.

Das Wall Street Journal hatte unter Berufung auf einen Microsoft-Manager berichtet, dass unbekannte Programmierer aus dem eigenen Haus eine Hintertür in der Software vorgesehen hätten. Die Passwortphrase, die den Zugriff auf Hunderttausende Internet-Angebote ermögliche, beschimpfe außerdem die Programmierer des Software-Konkurrenten Netscape. Microsoft bestätigte zwar die Existenz einer solchen verborgenen Beschimpfung - sie sei aber nicht Teil eines Passwortes gewesen. (PC-WELT, 17.04.2000, dpa/ sp)

Microsoft Security Bulletin

Zugriff auf Kreditkartennummern (PC-WELT Online, 14.4.2000)

0 Kommentare zu diesem Artikel
140460