2322695

Office-Lücke wird bereits ausgenutzt

10.01.2018 | 09:11 Uhr |

Beim Patch Day im Januar schließt Microsoft 56 Schwachstellen in seinen Produkten. Darunter ist eine 0-Day-Lücke in Office, die bereits für Angriffe genutzt wird.

Der erste Update-Dienstag in diesem Jahr hat eigentlich schon vor einer knappen Woche begonnen. Ein großer Teil der Updates datiert vom 3. Januar, etwa die für Windows, Edge und den Internet Explorer (IE). Grund ist eine koordinierte Patch-Bereitstellung gegen die CPU-Lücken , die unter den Namen „Spectre“ und „Meltdown“ bekannt geworden sind. Sie betreffen alle gängigen Betriebssysteme, da die Schwachstellen in Prozessoren von Intel, AMD und anderen Herstellern stecken. Für AMD-basierte Systeme hat Microsoft die Auslieferung der Meltdown-Spectre-Patches gestoppt , da es hier massive Probleme geben kann.

Achtung: Nutzer „inkompatibler“ Antivirus-Software bekommen die Januar-Updates nicht und bleiben auch von zukünftigen Sicherheits-Updates ausgeschlossen. Microsoft geht in der Sicherheitsempfehlung ADV180002 auch darauf ein, hat jedoch bislang nicht angegeben, welche Software betroffen ist. Auch wenn keinerlei Antivirus-Software installiert ist, erhält der PC laut Microsoft keinerlei Sicherheits-Updates mehr – weder im Januar noch in Zukunft. Abhilfe schafft ein neu zu erstellender Registry-Key, den im Normalfall die Antivirus-Software setzen sollte. Die Antivirus-Hersteller liefern dafür entsprechende Updates oder Tools. Microsofts eigene Produkte (etwa Windows Defender, Security Essentials) sind kompatibel.

Sie können diesen Schlüssel auch selbst erstellen. Sie sollten jedoch sicher sein, dass Sie verstehen, was Sie da machen. Der neue Registry-Eintrag sagt aus, dass die installierte Antivirus-Software Microsofts Anforderungen entspricht. Wenn Sie trotz möglicherweise inkompatibler Antivirus-Software diesen Registry-Schlüssel erstellen, riskieren Sie Systemabstürze und Bluescreens. Der Eintrag in der Registry lautet:

RegKey="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat"
Value Name ="cadca5fe-87d3-4b96-b7fb-a231484277cc"
Type="REG_DWORD"
Data="0x00000000"

Am 9. Januar, dem regulären Termin, sind hauptsächlich Updates für Office und .NET hinzugekommen. Mit diesen Updates steigt die Zahl der beseitigten Sicherheitslücken auf insgesamt 56. Als kritisch stuft Microsoft 16 dieser Lücken ein, von denen 15 Edge und den IE betreffen. Für 38 Schwachstellen gibt Microsoft die zweithöchste Risikoeinstufung „hoch“ an. Hinzu kommt je eine Schwachstelle mit mittlerer Bewertung sowie eine mit geringem Risiko.

Internet Explorer
Für den IE 9 bis 11 gibt es ein neues kumulatives Sicherheits-Update (KB4056568). Damit behebt Microsoft in diesem Monat lediglich zwei IE-Schwachstellen, die beide als kritisch eingestuft sind. Beide Lücken stecken in der Scripting Engine (Javascript) und betreffen auch Edge.

Edge
Im Browser Edge stopft Microsoft in diesem Monat 18 Sicherheitslücken. Von diesen stufen die Redmonter alle bis auf drei als kritisch ein. Auch bei Edge gehen alle kritischen Schwachstellen auf das Konto der Scripting Engine, betreffen also Javascript.

Office
Mit den Januar-Updates für seine Office-Familie beseitigt Microsoft 19 Schwachstellen, nur eine Word-Lücke (CVE-2018-0797) wird als kritisch eingestuft. Sie ist über präparierte RTF-Dateien ausnutzbar, um schädlichen Code einzuschleusen und auszuführen. Mehrere weitere Office-Lücken sind ebenfalls geeignet, um Code einzuschleusen und auszuführen. Entsprechende Angriffe sind jedoch bislang nicht bekannt.

Anders bei der nicht als kritisch geltenden Schwachstelle CVE-2018-0802: Hierfür gibt Microsoft zwar einerseits an, die Ausnutzung sei unwahrscheinlich, andererseits besagt dieselbe Tabelle, dass die Lücke bereits ausnutzt wird. Auch hier muss der Angreifer ein potenzielles Opfer dazu bringen, ein präpariertes Office-Dokument zu öffnen. Auch WordPad ist laut Microsoft anfällig. Da es bislang keine weiteren Details zu den Angriffen gibt, wird es sich wohl um gezielte Attacken auf ausgewählte Personen oder Organisationen handeln. Zum Schutz vor diesen Angriffen macht Microsoft einen radikalen Schnitt: Das Update entfernt den Formeleditor aus Office.

Windows
In den verschiedenen Windows-Versionen beseitigt Microsoft insgesamt 13 Sicherheitslücken, keine ist als kritisch eingestuft. Neben den Meltdown-Spectre-Lücken sei etwa eine Schwachstelle (CVE-2018-0743) im Linux-Subsystem für Windows 10 erwähnt. Durch Ausführen eines speziell erstellten Programms kann ein lokal angemeldeter Angreifer im Erfolgsfall Code mit höheren Berechtigungen ausführen.

.NET
Insgesamt vier Lücken entfallen auf das .NET Framework, .NET Core und ASP.NET Core. Drei tragen die Risikoeinstufung „hoch“, eine XSRF-Lücke (Cross Site Request Forgery) in ASP.NET Core stuft Microsoft als mittleres Risiko ein.

Flash Player
Für den im Internet Explorer (ab Windows 8) und in Edge integrierten Flash Player reicht Microsoft ein Adobe-Update durch. Es beseitigt eine Schwachstelle, die Microsoft im Gegensatz zu Adobe als kritisch einstuft. Der neue Flash Player trägt die Versionsnummer 28.0.0.137.

Schließlich gibt es, wie in jedem Monat, auch im Januar das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.


PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2322695