Vorsicht! Microsoft-Patch legt Rechner lahm

An seinem Februar-Patchday schließt Microsoft 56 Lücken – und beschert Windows-Nutzern auch neue Probleme. Durch ein älteres Update, das nun automatisch verteilt wird, hängt der Rechner beim Installieren fest.

In Pocket speichern vorlesen Druckansicht 343 Kommentare lesen
Microsoft stopft 56 Sicherheitslöcher
Lesezeit: 3 Min.
Von
  • Ronald Eikenberg

Microsofts Feburar-Patchday hat es in sich: Die Redmonder schließen mit 9 Updates insgesamt 56 Sicherheitslücken. Drei der Updates stuft das Unternehmen als "kritisch" ein, die übrigen sechs als "wichtig".

Bevor es jedoch um die neuen Patches geht, eine eindringliche Warnung: Offenbar hat Microsoft am Dienstagabend damit begonnen, den Visual-Studio-Patch KB3001652 über Windows Update zu verteilen. heise Security liegen zahlreiche Berichte von Lesern vor, bei denen die Installation des Updates fehlgeschlagen ist und deren System seitdem nicht mehr hochfährt, da Windows das Update immer wieder zu installieren versucht.

Wer den Patch angeboten bekommt, sollte ihn bis auf Weiteres nicht installieren. Der Patch betrifft unter Umständen auch Nutzer, die Visual Studio nicht installiert haben – etwa, wenn ein mit Visual Studio erstelltes Programm installiert wurde, das die betroffene Bibliothek mitbringt. heise Security hat Microsoft hierzu um eine Stellungnahme gebeten, eine Antwort steht bislang noch aus.

Die meisten der Lücken, welche die neuen Patches schließen sollen, klaffen im Internet Explorer – nämlich genau 41 an der Zahl. Durch einige der Lücken kann ein Angreifer Code ins System einschleusen, wenn man auf einer manipulierten Website landet. Die seit rund einer Woche öffentlich bekannte UXSS-Lücke (CVE-2015-0072) bleibt weiter offen.

Zwei weitere Patches betreffen Windows-Systeme, die sich an einem Domain-Controller anmelden. Einer davon schließt eine Lücke, durch die ein Angreifer als Man-in-the-Middle (MitM) Schadcode einschleusen kann, wenn er die Anmeldung am Domain-Controller abfängt. Der zweite Patch behebt eine Schwachstelle, durch die der MitM verhindern kann, dass Gruppenrichtlinien angewendet werden.

Außerdem gibt es ein Sammel-Update für den Windows-Kernel. Es schließt sechs Lücken, die sich unter anderem zum Einschleusen von Schadcode eignen. Darüber hinaus behebt Microsoft eine Rechteausweitungslücke sowie einen Speicherfehler bei der Verarbeitung von TIFF-Dateien in allen Windows-Versionen.

Last but not least hat Microsoft eine Lücke im System Center 2012 R2 Virtual Machine Manager geschlossen sowie zwei wichtige Updates für Office 2007 SP3 bis 2013 SP1 veröffentlicht. Das eine schließt eine öffentlich gemeldete Use-After-Free-Lücke, das andere drei vertraulich gemeldete Fehler in der Speicherverwaltung. Microsoft

Update vom 11. Februar, 12:20: Angaben zum Problem-Patch KB3001652 korrigiert.

Update vom 11. Februar, 18:00: Anders als zunächst berichtet wurde die seit über einer Woche bekannte UXSS-Lücke im Internet Explorer doch nicht gepatcht. Dies zeigte ein Test von heise Security. (rei)