Patchday-Déjà-vu: Microsoft schließt LNK-Lücke von 2010

Microsoft hat am März-Patchday 54 Sicherheitslücken mit 14 Sammelupdates geschlossen, fünf davon sind als "kritisch" eingestuft, alle anderen als haben die Priorität "hoch". Eigentlich würde man erwarten, dass von diesen Patches besonders das Sicherheitsupdate von SChannel, welches die Freak-Lücke schließt, im Mittelpunkt der Aufmerksamkeit steht. Das Freak-Update wird allerdings von einem anderem überschattet, mit dem Microsoft eine Lücke schließt, die seit mindestens 2008 in Windows klafft und die eigentlich seit 2010 mit einem Patch abgedichtet sein sollte.

Hierbei handelt es sich um die sogenannte LNK-Lücke, die auch von Stuxnet und der Equation Group genutzt wurde, um Rechner zu infizieren – unter anderem um die iranische Atomanlage in Natanz zu sabotieren. Wie die Zero Day Initiative von HP nun veröffentlicht hat, schloss Microsofts Patch aus dem Jahre 2010 (MS10-046) die Lücke nicht vollständig. Deswegen musste Microsoft nun ein weiteres Update (MS15-20) nachlegen, welches die Lücke nun hoffentlich endgültig abdichtet. Dementsprechend ist das Update auch als "kritisch" eingestuft.

Die anderen vier kritischen Updates sind ein Sammelupdate für den Internet Explorer und Patches für Lücken in VBScript, in Microsoft Office und in einem Schriftartentreiber von Adobe, durch die Angreifer allesamt aus der Ferne Code ausführen können. Das Update für den Internet Explorer dichtet unter anderem die Universal-XSS-Lücke (UXSS) ab, über die bösartige Webseiten die Nutzerdaten anderer Webseiten abgreifen können.

Freak-Patch, aber nicht für Windows Phone

Den Freak-Patch schätzt Microsoft als "wichtig" ein. Microsoft selbst gehört zu den Entdeckern der Lücke, mit der einem Rechner schwache Krypto-Schlüssel untergeschoben werden können. Die Firma hatte zuerst angenommen, die Krypto-Infrastruktur von Windows sei dagegen gefeit, dann das Gegenteil bestätigt und nun liefert sie einen Patch für SChannel auf allen betroffenen Desktop- und Serverversionen von Windows aus. Ausgenommen ist die Entwickler-Version von Windows 10, die nach wie vor verwundbar ist. Windows Phone, welches Updates außerhalb des Patchdays erhält, ist ebenfalls immer noch angreifbar.

Am Rande des Patchdays gab Microsoft bekannt, dass ihr Tool zum Entfernen bösartiger Software (MSRT) seit dem 19. Februar das Superfish-Zertifikat erkennt und entfernt. Um das umzusetzen, hatte die Firma direkt mit Lenovo zusammengearbeitet.

[Update 11.03.2015 13:16]

Microsoft hat ebenfalls bekanntgegeben, dass ab sofort ein Update für Windows 7 und Windows-Server 2008 R2 erneut verteilt wird, das im Oktober 2014 zurückgezogen worden war. Mit dem Update unterstützen diese Betriebssysteme den SHA-2-Algorithmus zum Signieren und Verifizieren von Daten. Das Original-Update im Oktober hatte bei der Installation bei einigen Nutzern Probleme verursacht.

Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT und Windows RT 8.1 beherrschen SHA-2 bereits. Der Algorithmus soll den veralteten und als unsicher geltenden Vorgänger SHA-1 ablösen. (fab)