Microsoft flickt Zero-Day-LĂĽcke am Patchday
Am November-Patchday hat Microsoft eine der beiden Zero-Day-LĂĽcken in Windows geschlossen. Beide LĂĽcken werden seit Tagen aktiv fĂĽr Angriffe verwendet. DarĂĽber hinaus gibt es kritische Updates fĂĽr IE und GDI.
- Fabian A. Scherschel
Im Rahmen des monatlichen Patchdays hat Microsoft acht Update-Pakete herausgegeben, drei davon sind als kritisch eingestuft und betreffen LĂĽcken, die es Angreifern erlauben, unter Windows Schadcode aus der Ferne auszufĂĽhren.
Unter anderem flickt die Firma die in den letzten Tagen bekannt gewordene Zero-Day-Schwachstelle im ActiveX-System, die aktiv dazu verwendet wurde, um Besuchern einer manipulierten Webseite Schadcode unterzuschieben und auszuführen (MS13-090). Betroffen waren die IE-Versionen 7 bis 10 unter Windows XP und 7. Die Lücke wird von Angreifern aktiv ausgenutzt. Ein weiteres kritisches Update (beseitigt eine Lücke im Windows Graphics Device Interface (GDI, MS13-089); es handelt sich dabei jedoch nicht um die Zero-Day-Lücke bei der Darstellung von TIFF-Dateien. Das dritte kritische Bulletin betrifft ein Sammelupdate, welches zehn vertraulich an Microsoft gemeldete Schwachstellen in allen unterstützten Versionen des Internet Explorers schließt ( MS13-088).
Die fünf übrigen Updates sind mit der zweithöchsten Sicherheitsstufe "Hoch" klassifiziert. Unter anderem wird hier der Zertifikatsdienst von Windows wurde gegen einen Denial-of-Service-Angriff abgehärtet, der Webdienste mit manipulierten X.509-Zertifikaten lahmlegen kann. Weitere Updates betreffen die Ausführung von Schadcode aus dem Netz unter Office und eine Lücke in der Virtualisierungstechnologie Hyper-V, mit der ein Benutzer seine Rechte ausweiten kann. In einem Windows-Treiber und dem Mail-Client Outlook wurden Fehler behoben, die zur ungewollten Offenlegung von Benutzerinformationen führen.
[Update: Die TIFF-Lücke bleibt nach wie vor ohne Patch. Diese Lücke in der Grafikbibliothek von Windows Vista und Server 2008, Office 2003 bis 2010 sowie Lync wird bereits seit mindestens letzter Woche aktiv für Angriffe ausgenutzt. Sicherheitsforscher hatten entdeckt, dass über Word-Dokumente eine Spionage-Software gezielt platziert wurde. Des weiteren wird die Lücke verwendet, um Banking-Trojaner in Umlauf zu bringen.Wer sich davor schützen möchte, kann Microsofts Fix-It anwenden, das die Anzeige von TIFF-Dateien komplett abschaltet. Microsoft hat bereits angekündigt, den TIFF-Patch zu veröffentlichen, "sobald er fertig ist", was wohl bedeutet, dass man nicht bis zum Dezember-Patchday warten wird.]
Update 13.11.13, 11:20: Die ursprĂĽngliche Form der Meldung ordnete irrtĂĽmlich den GDI-Patch MS13-089 dem TIFF-Zero-Day-Problem zu. Das wurde korrigiert. (fab)
