1912874

Microsoft will Zero-Day-Lücke im IE stopfen

07.03.2014 | 14:38 Uhr |

Unter den fünf Security Bulletins, die Microsoft für den Patch Day am kommenden Dienstag angekündigt hat, ist auch eines, das eine bereits seit Januar für Angriffe im Web ausgenutzte Schwachstelle im Internet Explorer behandeln soll.

Microsoft hat für seinen Update-Dienstag am 11. März fünf Security Bulletins angekündigt. Zwei der Bulletins tragen die höchste Risikoeinstufung "kritisch", die drei anderen die zweithöchste Einstufung "hoch" ( important ). Mit den zugehörigen Sicherheits-Updates will der Hersteller Schwachstellen in allen Windows-Versionen sowie im Internet Explorer (IE) und in Silverlight 5 beseitigen.

Das vorab als "Bulletin 1" angekündigte Security Bulletin MS14-012 soll kritische Sicherheitslücken in allen IE-Versionen (6 bis 11) auf allen noch unterstützten Windows-Versionen behandeln. Dazu zählt auch eine IE-Lücke (CVE-2014-0322), die bereits durch mindestens zwei Angreifergruppen für gezielte Attacken auf Rüstungsunternehmen und US-Kriegsveteranen ausgenutzt wird. Hiervon ist nach Microsofts Angaben nur der IE 10 betroffen. Laut Symantec werden diese Angriffe jedoch inzwischen bereits mit Drive-by Downloads auf normale IE-Nutzer ausgeweitet.

In einem zweiten Security Bulletin soll es um ebenfalls als kritisch eingestufte Schwachstellen in allen Windows-Versionen außer RT gehen. Auch hierbei handelt es sich um Lücken, die ein Angreifer ausnutzen könnte, um beliebigen Code einzuschleusen und auszuführen.

Zwei weitere Bulletins sollen sich mit Windows-Lücken befassen, die Microsoft als hohes Risiko einstuft. In einem Fall geht es um eine Möglichkeit sich höhere Berechtigungen zu verschaffen, die in allen Windows-Versionen einschließlich XP, RT und Windows Server besteht. Das andere Bulletin betrifft alle Windows-Versionen außer Windows 7, 8, 8.1 und RT. Darin geht es um eine Lücke, die es einem Angreifer ermöglichen kann Schutzfunktionen des Systems zu umgehen.

Das Austricksen von Sicherheitsmechanismen ist auch Gegenstand des letzten Bulletins, das Silverlight 5 betrifft. Microsofts eher glückloses Flash-Surrogat wird zwar noch bis 2021 mit Updates versorgt, die Weiterentwicklung hat Microsoft jedoch inzwischen aufgegeben.

Microsoft wird die Security Bulletins am 11. März gegen 19 MEZ veröffentlichen. Dann läuft auch die automatische Verteilung der zugehörigen Sicherheits-Updates an. Im Zuge dessen verteilt Microsoft auch die neue Version 6.0 seiner kleinen Wurmkur. Das aktualisierte "Windows-Tool zum Entfernen bösartiger Software" wird dann weitere Schädlinge ins Visier nehmen.

0 Kommentare zu diesem Artikel
1912874