Microsoft-Patchday mit vier kritischen Updates
Die interessanteste der Lücken, die Microsoft am monatlichen Patchday stopft, ist nur als "wichtig" eingestuft. Sie erlaubt es einem Wachmann oder einem Kollegen, einen Windows-PC quasi im Vorbeigehen zu kapern.
Microsoft schließt zum März-Patchday 20 Sicherheitslücken mit 7 Bulletins. Vier der Updates sind als kritisch eingestuft; sie betreffen Windows, Internet Explorer, Silverlight (inklusive der für Windows 8 verfügbaren Version), Office und Microsoft Server Software. Auch Windows 8 und Windows RT sind von den Lücken betroffen.
Microsoft empfiehlt, die Updates für den Internet Explorer (MS13-021), Silverlight (MS13-022) und den Windows-Kern (MS13-027) mit hoher Priorität zu behandeln. Letztere ist interessant, weil ein erfolgreicher Angriff zwar direkten Zugang vor Ort erfordert, aber zum Zeitpunkt des Angriffs niemand am System angemeldet sein muss. Es genügt, quasi im Vorbeigehen an einem frisch gestarteten System einen speziell präparierten USB-Stick anzustecken, um Code mit System-Rechten auszuführen. In einer Erweiterung seiner Richtlinien stuft Microsoft solche "beiläufigen" Angriffe künftig höher ein als solche, die volle Kontrolle – also etwa den Ausbau der Festplatte oder das Booten von einem anderen Medium – erfordern.
Die drei als "wichtig" eingestuften Bulletins schließen weitere Lücken in Windows, Office und Microsofts Server-Software. Darüber hinaus stellt Microsoft ein Flash-Update für Internet Explorer 10 bereit, das vermutlich mit Adobes Update gleichzieht. Microsoft gibt einen Überblick zu den März-Patches, bei der Bewertung hilft die Tabelle mit Ausnutzbarkeits-Index. (ju)
