Juli-Patchday dichtet Windows-Rechtesystem ab

Microsoft hat anlässlich seines Juli-Patchdays insgesamt sieben Patch-Pakete (Bulletins) herausgegeben, von denen alle bis auf eines kritische Schwachstellen schließen. Insgesamt hat das Unternehmen 34 Lücken in Windows, Internet Explorer, Office und vielen weiteren Produkten geschlossen; darunter befindet sich auch die Schwachstelle im Windows-Kernel, die seit über einem Monat das Windows-Rechtesystem torpediert.

Die Kernel-Lücke hatte der Google-Sicherheitsexperte Tavis Ormandy im Mai dieses Jahres entdeckt, woraufhn er nicht lange zögerte und die Details ins Netz stellte. Kurz darauf folgte ein passender Exploit, der unter Windows eine Eingabeaufforderung mit Systemrechten öffnet – unabhängig davon, welche Rechte man eigentlich hat. Betroffen von der Lücke mit der Seriennummer CVE-2013-3660 sind sämtliche Windows-Versionen. Microsoft hat seine Kunden vor dem Patchday nicht vor dem Sicherheitsproblem gewarnt obwohl es nach eigenen Angaben bereits für gezielte Angriffe ausgenutzt wurde. Gegenüber heise Security erklärte das Unternehmen zwischenzeitlich nur, dass man das Problem untersuche und an einer Lösung arbeite. Das Sammel-Update MS13-053 beseitigt noch weitere kritische Lücken unter anderem eine bei der Verarbeitung von TrueType-Schriften und sollte mit höchster Priorität installiert werden.

Auch das .NET Framework und Silverlight stolpern (unter anderem) über speziell präparierte TrueType-Schriften, was ein Angreifer zum Einschleusen von Schadcode ausnutzen kann. Zwei der Schwachstellen, die das Patch-Paket beseitigt, sind nach Angaben von Microsoft bereits öffentlich bekannt. Die Grafikbibliothek GDI+ hat ebenfalls ein kritisches Problem mit der Auswertung von Schriftarten, durch das ein Online-Ganove das System mit Malware infizieren kann. Die Bibliothek kommt in vielen Micosoft-Anwendungen, die nun allesamt betroffen sind: sämtliche Windows-Versionen, Office 2003 bis 2010, Visual Studio .NET 2003 und Microsoft Lync.

Darüber hinaus offeriert Microsoft ein als kritisch ein gestuftes Sammelupdate für den Internet Explorer, ein kritisches Update für DirectShow und ein weiteres für die Windows Media Format Runtime. Last but not least gibt es auch noch einen Patch für den Windows Defender, der eine Lücke schließt, durch die ein Angreifer unter Windows 7 und Server 2008 R2 Code mit Systemrechten ausführen kann. Um die Schwachstelle auszunutzen, muss der Angreifer sich allerdings am System anmelden können und anscheinend auch die nötigen Rechte haben, um auf die oberste Ebene der Systemplatte zu schreiben. Microsoft hat diesem Update als einzigem nur die zweihöchste Gefahrenklasse zugeteilt.

Außerdem gab das Unternehmen bekannt, den Entwickler von Apps, die im Windows Store, Windows Phone Store, Office Store und Azure Marketplace angeboten werden, künftig 180 Tage Zeit geben, um "kritische" und "wichtige" Schwachstellen zu schließen. Voraussetzung für diese recht großzügig bemessene Schonfrist ist, dass die Lücke noch nicht öffentlich ausgenutzt wird. Andernfalls will Microsoft die verwundbare App notfalls kurzfristig aus dem Verkehr ziehen. (rei)