Microsoft will 26 Lücken am kommenden Patchday schließen

Die neue Lücke im Internet Explorer gehört nicht dazu, dafür schließen die Redmonder die nach 17 Jahren gefundene Privilege-Escalation-Lücke in der Virtual DOS Machine.

In Pocket speichern vorlesen Druckansicht 104 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

26 Sicherheitslücken wollen die Redmonder am kommenden Dienstag, dem 9. Februar, in allen unterstützten Windows-Versionen und Office schließen. Dazu gibt es 13 Updates und Bulletins mit Beschreibungen der Bedrohungen, von denen Microsoft fünf als kritisch einstuft. Das Security Response Team von Microsoft empfiehlt Administratoren und Anwendern bereits jetzt, den Bulletins 1, 2, 3 und 6 höchste Priorität einzuräumen und diese bei Verfügbarkeit so schnell wie möglich zu testen und zu installieren.

Zu den beseitigten Fehlern soll auf jeden Fall die Lücke in der Virtual DOS Machine gehören, durch die 16-Bit-Programme mit mehreren Tricks den zu jedem Prozess gehörenden Kernel-Stack manipulieren können. Anwender mit eingeschränkten Rechten können auf diese Weise eigenen Code mit Systemrechten ausführen.

Für die neue Lücke im Internet Explorer wird es keinen Patch geben. Microsoft scheint dem Problem auch nicht unbedingt die höchste Priorität einzuräumen, da die Schwachstelle hauptsächlich Versionen vor Windows Vista betrifft. Ab Vista läuft der Internet Explorer (7 und 8) im geschützten Modus (Protected Mode), der das Ausnutzen der Lücke verhindere. Für alle anderen Systeme gebe es das Fix-it-Tool.

Offen bleibt zudem weiterhin die seit Mitte November bekannte DoS-Schwachstelle in den SMB-Clients von Windows 7 und Windows Server 2008 R2. Der Fehler lässt sich aber ohnehin nur durch manipulierte SMB-Server ausnutzen, die fehlerhafte Pakete an Clients schicken – ein Szenario, das offenbar so selten auftritt, dass Microsoft bislang keine Angriffe beobachtet haben will. Ungepatcht bleibt auch die Lücke im Internet Information Server 6.0 (IIS) beim Parsen von Dateinamen mit Semikolon-Erweiterung.

Microsoft weist darauf hin, dass dieses Jahr auch der Support für mehrere Windows-Versionen ausläuft. Für Windows 2000 gibt es ab dem 13. Juli 2010 gar keine Updates mehr. Windows XP Service Pack 2 wird nur noch bis zum 13. Juli 2010 unterstützt. Ein Update auf SP3 ist also angeraten. Daneben wird Windows Vista RTM nur bis zum 13. April 2010 unterstützt, Vista SP1 immerhin noch bis 12. Juli 2011.

Siehe dazu auch:

(dab)