Microsoft stopft Debugging-Loch
Microsoft hat ein Security Bulletin nebst Patch für eine bereits seit Mitte März bekannte Sicherheitslücke in Windows NT und 2000 veröffentlicht.
Schon Mitte März hatte Radim "EliCZ" Picha ein Sicherheitsloch in Windows NT und 2000 entdeckt, das angeblich bereits seit der Veröffentlichung von NT4 existieren soll -- also seit 1996. Am gestrigen Mittwoch hat Microsoft nun mit der Veröffentlichung eines Security Bulletin reagiert und den Fehler bestätigt. Geeignete Patches für die gängigen Sprachvarianten von NT4 und Windows 2000 stehen zum Download bereit; Windows XP ist nicht betroffen.
Die Angriffsfläche bietet eine Schnittstelle, die Microsoft eigentlich für das Debugging ins System eingebaut hat, aber unter NT4 und Windows 2000 nur ungenügend mit den Sicherheitsmechanismen belegt hat, die das System schützen könnten. Ein Benutzer, der sich lokal an ein System anmelden und dort mitgebrachten Code ausführen kann, könnte über diesen Mechanismus Administratorrechte erlangen. Bislang waren nur Korrekturen aus dritter Hand für dieses Sicherheitsloch zu haben. (ps)
