Die Aufregung um die angebliche Hintertür in Microsofts Internet-Servern beginnt sich zu legen. Der Konzern aus Redmond hat inzwischen selbst reagiert und ein aktualisiertes Sicherheits-Bulletin herausgegeben. Darin wird ein Problem erklärt, der durch einen Fehler in der dvwssr.dll verursacht wird. Ein Buffer Overrun macht die Server anfällig für Denial-of-Service-Attacken; außerdem ist unter bestimmten Bedingungen ein Zugriff auf ASP-Dateien (Active Server Pages) sowie die Ausführung beliebigen Codes möglich. Letzteres untersuche man noch genauer und werde entsprechende Informationen veröffentlichen, sobald man zu einem Ergebnis gekommen sei, heißt es bei Microsoft. Es gebe aber kein geheimes Universal-Passwort, dass Fremden den vollständigen Zugriff auf einen Web-Server ermöglicht, erklärte Microsoft zu den Berichten von Ende der Woche. Die gegen Netscape gerichteten Kommentare in der DLL sind danach nicht geeignet, als Passwort zum Zugriff auf die Server zu dienen. Es gebe kein allgemeines Passwort in der DLL, um die Zugriffskontrollen auszuhebeln; die Komponente habe lediglich einen Schlüssel benutzt, um die Namen der Dateien, die der Client vom Server anfordere, für Andere unlesbar zu machen. Betroffen von dem eigentlichen Bug sind nach Angaben von Microsoft nur Installationen, die das Windows NT 4.0 Option Pack, den Personal Web Server 4.0 oder die Frontpage 2000 Server Extensions, die als Teil von FrontPage 98 ausgeliefert wurden, einsetzen. Die normalen Server Extensions aus FrontPage 2000 sind dagegen nicht fehlerhaft, ebensowenig Windows 2000, Internet Information Server 5.0 und die Office 2000 Server Extensions. Zur Lösung des Problems empfiehlt Microsoft entweder ein Upgrade der Software auf die nicht betroffenen Versionen; alternativ reiche auch, die dvwssr.dll zu löschen. Es gebe danach kaum Einschränkungen in den Funktionen der Server; einzig das so genannte Link View in Visual Interdev 1.0 könne nicht mehr genutzt werden. Auf den einschlägigen Sicherheits-Mailinglisten wurden die Informationen von Microsoft inzwischen bestätigt. (heise)