MS-Update schließt Lücke nicht

Microsoft gibt in einem Sicherheitshinweis bekannt, dass ein Sicherheits-Update für Windows 2000 Server, das das Unternehmen Mitte April herausgegeben hatte, nicht funktioniert. Das Update wird daher zurückgezogen. Da die Sicherheitslücke aber weiterhin besteht, sollen Administratoren einen Workaround anwenden, der die Schwachstelle zwar nicht behebt, aber Angreifer trotzem abhalten soll.

Das Sicherheitsproblem liegt in Windows 2000 Server in Verbindung mit den Windows Media Services. Diese sind in der normalen Installation zunächst nicht an Bord. Nutzt ein Angreifer die Sicherheitslücke aus, kann er aus dem Internet unerwünschten Code auf dem Windows-2000-System ausführen, wenn er ein speziell manipuliertes Transport-Information-Paket an den Server schickt.

Als Handlungsanweisung zum Schutz der Systeme rät Microsoft den Administratoren, Windows Media Unicast Service zu deaktivieren oder die Windows Media Services gleich komplett zu deinstallieren. Einzelheiten zur Vorgehensweise finden sich im Microsoft-Sicherheitshinweis zum Thema. Nach eigenen Angaben arbeitet das Unternehmen an einem Sicherheits-Update, das den Fehler behebt.

Unklar bleibt, wie ein Sicherheitsupdate, das eine Schwachstelle offen lässt, obwohl es eigens dafür geschaffen wurde, dieses Problem zu beheben, die Qualitätssicherung bei Microsoft passieren kann.