Microsoft patcht Flash Player unter Windows außer der Reihe
Diesen Monat ist der Patchday trotz bekannter Sicherheitslücken in Windows ausgefallen. Nun liefert Microsoft zumindest Patches für kritische Lücken im Flash Player nach.
Ab sofort stehen Sicherheitspatches für Adobes Flash Player über Windows Update zur Verfügung, die mehrere als kritisch eingestufte Schwachstellen schließen. Eine zügige Installation ist anzuraten: Im schlimmsten Fall könnten Angreifer gefährdete Computer komplett übernehmen.
Mit diesem Vorgehen patcht Microsoft außerplanmäßig: In einem Statement gab der Konzern bekannt, die Sicherheitspatches des im Februar ausgefallenen Patchdays am 14. März nachliefern zu wollen.
Unter Windows 8.1 und 10 aktualisieren sich die Webbrowser Internet Explorer 10 und 11 und Edge automatisch via Windows Update. Um die Installation der abgesicherten Flash-Version 24.0.0.221 zu überprüfen, kann man über die Browser eine Info-Webseite von Adobe aufrufen.
Weitere offene Zero-Day-Lücken
Es ist davon auszugehen, dass noch weitere Sicherheitslücken in Microsoft-Produkten klaffen, auf deren Absicherung man bis März warten muss. In jedem Fall steht noch ein Patch aus, der die Zero-Day-Lücke in der SMB-Bibliothek von Windows schließt. Angreifer können Windows-Clients und -Server durch die Lücke zum Absturz bringen (Denial of Service). Entgegen erster Annahmen ist es nach derzeitigem Kenntnisstand nicht möglich, Code durch die Schwachstelle einzuschleusen.
Dazu gesellt sich noch eine kürzlich von Googles Project Zero offengelegte Zero-Day-Lücke in Windows. Programmierfehler in der Grafikbibliothek GDI des Windows-Kernels können demnach missbraucht werden, um Speicherinhalt auszulesen, auf den unprivilegierte Nutzer eigentlich keinen Zugriff haben dürften.
Gründe für Verschiebung weiterhin unklar
Erstmals in der Geschichte von Microsofts hat der Konzern den monatlichen stattfinden Patchday zur Verteilung von Sicherheitsupdates verschoben. Die Gründe dafür sind bislang ungeklärt – eine Anfrage von heise Security blieb bisher unbeantwortet. Das Unternehmen erklärt weiterhin lediglich, dass es in letzter Minute auf ein Problem gestoßen ist, das einige Nutzer beeinträchtigen könnte und nicht rechtzeitig gelöst werden konnte. (des)
