Microsoft Security Bulletin MS09-020

Dieses Sicherheitsupdate behebt eine öffentlich gemeldete Sicherheitsanfälligkeit und eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Internet Information Services (IIS). Die Sicherheitsanfälligkeiten können eine Erhöhung von Berechtigungen ermöglichen können.

Kennung des Bulletins: Microsoft Security Bulletin MS09-020 Titel des Bulletins: Sicherheitsanfälligkeiten in Internet Information Services (IIS) Erhöhung von Berechtigungen ermöglichen (970483) Bewertung: Hoch Auswirkung: Erhöhung von Berechtigungen Betroffene Software: siehe unten

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt eine öffentlich gemeldete Sicherheitsanfälligkeit und eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Internet Information Services (IIS). Die Sicherheitsanfälligkeiten können eine Erhöhung von Berechtigungen ermöglichen, wenn ein Angreifer eine speziell gestaltete HTTP-Anforderung an eine Website sendet, die eine Authentifizierung erfordert. Diese Sicherheitsanfälligkeiten ermöglichen einem Angreifer, die IIS-Konfiguration zu umgehen, die angibt, welche Art von Authentifizierung zulässig ist, aber nicht die dateisystembasierte ACL-Kontrolle (access control list, Zugriffssteuerungsliste), die überprüft, ob eine Datei für einen gegebenen Benutzer zugänglich ist. Eine erfolgreiche Ausnutzung dieser Sicherheitsanfälligkeiten würde den Angreifer immer noch auf die Berechtigungen beschränken, die dem anonymen Benutzerkonto durch die Dateisystem-ACLs gewährt werden.

Dieses Sicherheitsupdate wird für Microsoft Internet Information Services unter allen unterstützten Editionen von Microsoft Windows 2000, Windows XP und Windows Server 2003 als Hoch eingestuft. Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem geändert wird, wie die WebDAV-Erweiterung für IIS HTTP-Anforderungen verarbeitet. Dieses Sicherheitsupdate behebt die in der Microsoft-Sicherheitsempfehlung 971492 beschriebene Sicherheitsanfälligkeit.

Empfehlung: Die Mehrheit der Benutzer hat die automatische Aktualisierung aktiviert und muss keine Maßnahmen ergreifen, da dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates prüfen und dieses Update manuell installieren. Für Administratoren und für Installationen in Unternehmen bzw. für Endbenutzer, die dieses Sicherheitsupdate manuell installieren möchten, empfiehlt Microsoft, das Update so schnell wie möglich mit Updateverwaltungssoftware zu installieren bzw. mithilfe des Diensts Microsoft Update auf Updates zu prüfen.

Betroffene Software

• Microsoft Windows 2000 Service Pack 4 – Update herunterladen
• Windows XP Professional Service Pack 2 – Update herunterladen
• Windows XP Professional Service Pack 2 – Update herunterladen
• Windows XP Professional x64 Edition Service Pack 2 – Update herunterladen
• Windows Server 2003 Service Pack 2 – Update herunterladen
• Microsoft Windows Server 2003 x64 Edition Service Pack 2 – Update herunterladen
• Windows Server 2003 mit SP2 für Itanium-basierte Systeme – Update herunterladen

Nicht betroffene Software

• Windows Vista
• Windows Vista Service Pack 1
• Windows Vista Service Pack 2
• Windows Vista x64 Edition
• Windows Vista x64 Edition Service Pack 1
• Windows Vista x64 Edition Service Pack 2
• Windows Server 2008 (alle Editionen)

Weitere Informationen zu diesem Sicherheitspatch finden Sie auf dieser Microsoft-Website.
Quelle: Microsoft Security Bulletin vom 09.06.2009

Damit Sie sich in Zukunft nicht mehr selbst um diese Arbeiten kümmern müssen, haben wir unseren SECURITY-CHECK mit Servicevertrag entwickelt. Mit dem Abschluss dieses Vertrages stellen Sie sicher, dass Ihr PC-System und Netzwerk immer auf dem aktuellen Stand der Entwicklung sind.

Sie haben Fragen!!?? >>> Nehmen Sie mit uns Kontakt auf! <<<
 

Copyright © 2009
INCLUDED EDV - Service