Microsoft-Patchday: Drei kritische Updates, IE-Lücke weiter offen
Microsoft hat sieben Patch-Pakete veröffentlicht, die 24 Sicherheitslücken schließen. Der von der ZDI entdeckte Zero Day im Internet Explorer scheint aber weiterhin offen zu sein. Außerdem musste Microsoft das SChannel-Update erneut nachbessern.
- Fabian A. Scherschel
Das letzte Mal in diesem Jahr hat Microsoft reguläre Updates für seine Software herausgegeben. Zum Dezember-Patchday veröffentlichte die Firma aus Redmond sieben Patch-Pakete, die insgesamt 24 Sicherheitslücken in Windows, im Internet Explorer, in Office und in Microsoft Exchange schließen. Drei der Updates gelten als kritisch, die anderen vier sind als wichtig eingestuft.
Zero-Day im Internet Explorer nicht geschlossen
Die kritischen Updates betreffen den Internet Explorer, Office und die Skripting-Engine VBScript. Das IE-Patch-Paket schließt allein 14 Lücken, die vertraulich an Microsoft gemeldet wurden und momentan wohl nicht aktiv angegriffen werden. Der von der ZDI veröffentlichte Zero-Day (CVE-2014-8967) wird nicht erwähnt – damit scheint die kritische Lücke nach wie vor im IE zu klaffen. Das ist besonders bitter, nachdem Microsoft laut ZDI davon schon seit einem halben Jahr weiß.
Eine Office-Lücke erlaubt es Angreifern, Code aus der Ferne auszuführen, falls sie den Nutzer dazu bringen können, ein präpariertes Word-Dokument zu öffnen. Dabei ist ein Angreifer hier auf die Rechte des Nutzers beschränkt, der die Datei ausführt; Administrator-Rechte müsste er sich über weitere Lücken erst besorgen. Ähnlich sieht es auch bei der VBScript-Lücke aus: Lockt ein Angreifer einen Nutzer auf eine präparierte Webseite, kann er so Schadcode mit den Rechten des Nutzers ausführen.
Microsoft schließt mit den wichtigen Updates vier Lücken im Exchange-Server, eine weitere Lücke in Office mit der ebenfalls Code aus der Ferne ausgeführt werden kann und eine Lücke in JPEG-Verarbeitung von Windows, durch den ein Angreifer Informationen über das System des Opfers erlangen kann. Außerdem wurden zwei Bugs in Excel, über die Code aus der Ferne ausgeführt werden kann, ebenfalls als wichtig klassifiziert.
Sorgenkind SChannel-Patch
Zusätzlich hat Microsoft zwei Patch-Pakete erneut veröffentlicht. Zum einen handelt es sich hierbei um das Kumulative Sicherheitsupdate für den Internet Explorer (MS14-065) vom November-Patchday. Nutzer von IE 10 beziehungsweise von IE 8 auf Windows 7 oder Server 2008 sollten die neue Version der Patches installieren. Außerdem hat Microsoft den Problem-Patch der Krypto-Infrastruktur SChannel (MS14-066) erneut veröffentlicht – was bereits die dritte Version des Updates darstellt. Nutzer von Windows Vista und Server 2008 sollten auch hier noch einmal updaten.
In einem Update zu seinen Sicherheitshinweisen in Bezug auf den Poodle-Angriff schreibt Microsoft, dass mit dem kumulativen Update für den Internet Explorer jetzt Warnungen in IE 11 auftreten, wenn eine HTTPS-Verbindung von TLS 1.0 oder neuer auf SSLv3 oder älter zurück gestuft wird. Dies passiert etwa bei einem Poodle-Angriff. Wie die Warnungen funktionieren, erklärt Microsoft in einem Knowledge-Base-Artikel zu dem Thema.
[Update: 10.12.2014 13:03]
Leser von heise Security berichten im Zusammenhang mit den Patchday-Updates von Problemen mit ihren Windows-Installationen. Das Update der Root-Zertifikate für Windows (KB3004394) verhindert demnach die Installation bestimmter Software und hindert andere Programme am Start. Unter anderem sind Windows Defender und Windows Update betroffen. In Microsofts Support-Foren werden ebenfalls eine ganze Reihe von differenzierten Symptomen in Zusammenhang mit dem Patch beschrieben. Alle Probleme scheinen ausschließlich Windows 7 zu betreffen. (fab)
