Microsoft flickt Zero-Day-Lücke am Patchday
Am November-Patchday hat Microsoft eine der beiden Zero-Day-Lücken in Windows geschlossen. Beide Lücken werden seit Tagen aktiv für Angriffe verwendet. Darüber hinaus gibt es kritische Updates für IE und GDI.
- Fabian A. Scherschel
Im Rahmen des monatlichen Patchdays hat Microsoft acht Update-Pakete herausgegeben, drei davon sind als kritisch eingestuft und betreffen Lücken, die es Angreifern erlauben, unter Windows Schadcode aus der Ferne auszuführen.
Unter anderem flickt die Firma die in den letzten Tagen bekannt gewordene Zero-Day-Schwachstelle im ActiveX-System, die aktiv dazu verwendet wurde, um Besuchern einer manipulierten Webseite Schadcode unterzuschieben und auszuführen (MS13-090). Betroffen waren die IE-Versionen 7 bis 10 unter Windows XP und 7. Die Lücke wird von Angreifern aktiv ausgenutzt. Ein weiteres kritisches Update (beseitigt eine Lücke im Windows Graphics Device Interface (GDI, MS13-089); es handelt sich dabei jedoch nicht um die Zero-Day-Lücke bei der Darstellung von TIFF-Dateien. Das dritte kritische Bulletin betrifft ein Sammelupdate, welches zehn vertraulich an Microsoft gemeldete Schwachstellen in allen unterstützten Versionen des Internet Explorers schließt ( MS13-088).
Die fünf übrigen Updates sind mit der zweithöchsten Sicherheitsstufe "Hoch" klassifiziert. Unter anderem wird hier der Zertifikatsdienst von Windows wurde gegen einen Denial-of-Service-Angriff abgehärtet, der Webdienste mit manipulierten X.509-Zertifikaten lahmlegen kann. Weitere Updates betreffen die Ausführung von Schadcode aus dem Netz unter Office und eine Lücke in der Virtualisierungstechnologie Hyper-V, mit der ein Benutzer seine Rechte ausweiten kann. In einem Windows-Treiber und dem Mail-Client Outlook wurden Fehler behoben, die zur ungewollten Offenlegung von Benutzerinformationen führen.
[Update: Die TIFF-Lücke bleibt nach wie vor ohne Patch. Diese Lücke in der Grafikbibliothek von Windows Vista und Server 2008, Office 2003 bis 2010 sowie Lync wird bereits seit mindestens letzter Woche aktiv für Angriffe ausgenutzt. Sicherheitsforscher hatten entdeckt, dass über Word-Dokumente eine Spionage-Software gezielt platziert wurde. Des weiteren wird die Lücke verwendet, um Banking-Trojaner in Umlauf zu bringen.Wer sich davor schützen möchte, kann Microsofts Fix-It anwenden, das die Anzeige von TIFF-Dateien komplett abschaltet. Microsoft hat bereits angekündigt, den TIFF-Patch zu veröffentlichen, "sobald er fertig ist", was wohl bedeutet, dass man nicht bis zum Dezember-Patchday warten wird.]
Update 13.11.13, 11:20: Die ursprüngliche Form der Meldung ordnete irrtümlich den GDI-Patch MS13-089 dem TIFF-Zero-Day-Problem zu. Das wurde korrigiert. (fab)
