Frühjahrspatches: Microsoft 9 - Adobe 3
Adobe und Microsoft haben anlässlich ihres April-Patchdays drei beziehungsweise neun Patches herausgegeben. Unter den Microsoft-Patches findet sich erstmalig auch ein wichtiges Update für den Virenscanner von Windows 8.
- Ronald Eikenberg
Draußen meldet sich langsam der Frühling zurück, drinnen rufen Adobe und Microsoft zum Frühjahrsputz des Rechners auf. Dabei wird unter anderem eine Sicherheitslücke in einem Programm geschlossen, das seine Nutzer eigentlich beschützen soll: dem mitgelieferten Virenscanner von Windows 8 und RT.
Durch die Lücke kann ein Nutzer, der eigentlich nur eingeschränkte Rechte hat, Befehle mit Systemrechten ausführen und so etwa auch neue Admin-Accounts anlegen. Nach Herstellerangaben ist hierfür ein Fehler bei der Verarbeitung von Ordnernamen verantwortlich. Der Nutzer muss dazu in der Lage sein, eine Datei direkt auf C:\ anzulegen. Microsoft hat das Problem in die zweithöchste Gefahrenklasse eingestuft.
Zwei der insgesamt neun Microsoft-Patch-Pakete (Bulletins) schließen Lücken der höchstmöglichen Gefahrenstufe: Eines behebt kritische Sicherheitslöcher in sämtlichen Internet-Explorer-Versionen – allerdings nicht alle. Die Schwachstellen, durch die das Team von Vupen im Rahmen des Hackerwettbewerbs Pwn2own im März erfolgreich einen Rechner kompromittiert hat, sollen erst "durch ein zukünftiges Sicherheitsupdate" behoben werden.
Das andere "kritische" Bulletin schließt eine Lücke im ActiveX-Control des Remote-Desktop-Clients, der zu den meisten Windows-Ausgaben gehört. Durch die Schwachstellen können sich Internet-Explorer-Nutzer beim Besuch speziell präparierter Webseiten Schadcode einfangen. Microsoft gibt zwar an, dass derzeit noch keine zu den geschlossenen Schwachstellen passenden Exploits bekannt sind, das dürfte sich aber bald ändern – schließlich wissen Black-, Gray- und Whitehats jetzt, wo sie suchen müssen.
Außerdem hat Microsoft das "wichtige" Patch-Paket MS13-031 herausgegeben, das eine Rechteausweitungs-Lücken im Kernel sämtlicher Windows-Versionen schließt. MS13-036 dichtet Löcher in Windows ab, durch die ein Angreifer mit Hilfe eines USB-Sticks an Systemrechte kommt. Die übrigen, ebenfalls "wichtigen", Bulletins beheben sicherheitsrelevante Programmierfehler in SharePoint Server 2013, Active Directory, dem Windows Client/Server-Runtime-Subsystem (CSRSS) sowie InfoPath 2010 und diversen Server-Komponenten.
Von Adobe gibt es im April unter anderem Updates für Adobe Flash und Air. Betroffen sind sämtliche Plattformen, die höchste Priorität haben allerdings nur die Updates für die Windows-Programme. Ein weiteres Update oberster Priorität gibt es für Shockwave (Windows und Mac OS X). Darüber hinaus hat Adobe Hotfixes für ColdFusion 9 und 10 herausgegeben, (rei)
