Neu von MSI

Microsoft stopft gefährliche Sicherheitslücken

reported by doelf, Mittwoch der 12.04.2017, 14:21:20 Uhr

Gestern war ein besonderer Patch-Day, denn Microsoft veröffentlicht nun keine übersichtliche Zusammenfassung (Security Bulletin Summary) mehr. Stattdessen dient der "Security Updates Guide" als Informationsquelle. Hier kann man die Sicherheits-Updates nach Produkten, Schwere und Art filtern sowie sortieren. Und das ist bei 236 Einträgen - bzw. 650 bei aktivierten Details - auch notwendig.

Jeder der 236 Einträge umfasst mindestens eine Sicherheitslücke oder sicherheitsrelevante Änderung. Unter "Severity" wird der maximale Schweregrad der Schwachstellen vermerkt und "Impact" erklärt die Auswirkungen dieses schwersten Fehlers. Fasst ein Eintrag mehrere Schwachstellen zusammen, lassen sich diese durch Auswahl von "Details" sichtbar machen. Nun werden für alle 650 Einträge die jeweiligen Schweregrade und Auswirkungen angegeben. Fast alle Einträge sind mehrfach vorhanden, da mehrere Produkte bzw. Produktversionen betroffen sind. Eine Zusammenfassung solcher Einträge, wie Microsoft sie früher mit den einzelnen Sicherheitsbulletins praktiziert hatte, findet nicht mehr statt. Was ebenfalls fehlt, ist eine Suche nach 0-Day-Lücken, für die Microsoft als Angriffswahrscheinlichkeit "0 - Exploitation Detected" angibt.

Was den April angeht, heißt es seitens Microsoft lapidar, man biete neue Flicken für die folgenden Produkte an: Internet Explorer, Edge, Windows, Office, Office Services, Web Apps, Visual Studio für Mac, .NET-Framework, Silverlight und Adobe Flash Player. 163 Einträge (mit Details: 213) befassen sich mit kritischen Problemen und 69 (mit Details: 421) kümmern sich um hochgefährliche Fehler. Ein Eintrag (mit Details: 9) befasst sich mit einem Bug mittlerer Schwere und die übrigen drei (mit Details: 7) sind entweder harmlos bzw. nicht kategorisiert. In die letzte Kategorie fällt die standardmäßige Deaktivierung des EPS-Filters (Encapsulated PostScript) bei Office 2010, 2013 und 2016, da dieser eine 0-Day-Lücke enthält, welche bereits für gezielte Angriffe genutzt wird. Und auch eine zweite 0-Day-Lücke (CVE-2017-0199) wurde geschlossen.

Bisher liefert Microsoft keinerlei Details zu CVE-2017-0199. Über die Filtermaske des "Security Updates Guide" kann man zumindest erfahren, dass diese 0-Day-Lücke Windows Vista und 7, die Server 2008, 2008 R2 und 2012 sowie die Office-Pakete 2007, 2010, 2013 und 2016 betrifft. Die Schwachstelle wird als kritisch eingestuft und sie ermöglicht das Einschleusen von Schadcode. Zu Wochenbeginn hatten die Sicherheitsexperten von Proofpoint vor einer Angriffswelle mit präparierten Office-Dokumenten gewarnt, welche den Banking-Trojaner Dridex über diese 0-Day-Lücke installiert.

Bleibt noch zu erwähnen, dass mit dem gestrigen Patch-Day auch der erweiterte Support für Windows Vista ausgelaufen ist. Vista wird somit keine weiteren Sicherheits-Updates mehr erhalten!

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]