In der vergangenen Woche hatte Microsoft zum ersten Mal den monatlichen Patch-Day erst verschoben und kurze Zeit später sogar ganz abgesagt. Aufgrund von Problemen bei einem Update wurde die Veröffentlichung aller Sicherheitsupdates auf den Patch-Day im März 2017 verlegt. Nun gibt es aber doch noch ein Sicherheitsupdate im Februar. Aufgrund der hohen Dringlichkeit hat sich Microsoft dazu entschieden, ein Sicherheitsupdate für Windows außer der Reihe zu veröffentlichen.
Mit dem Sicherheitsupdate werden laut dem Microsoft Sicherheits-Bulletin MS17-005 diverse als kritisch eingestufte Sicherheitslücken im Adobe Flash Player geschlossen. Betroffen sind folgende Windows-Versionen: Windows 8.1, Windows 10, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 und Windows Server 2016. Durch das Update wird die Flash-Bibliothek aktualisiert, die der Internet Explorer 10, Internet Explorer 11 und Microsoft Edge verwenden.
Selbst wenn die Microsoft-Browser nicht oder nur sporadisch genutzt werden, sollte das Update installiert werden. Immerhin werden mit dem Update 13 einzelne Lücken im Flash Player geschlossen. Adobe selbst hatte bereits in der vergangenen Woche auf die Lücken hingewiesen und entsprechende neue Flash-Player-Versionen veröffentlicht.
Eigentlich veröffentlicht Microsoft regelmäßig an den Patch-Days (jeweils am zweiten Dienstag eines Monats) auch neue Sicherheitsupdates für die von den Microsoft-Browsern verwendete Flash-Player-Bibliothek. Als Microsoft also in der vergangenen Woche den Patch-Day auf März verschob, hätte auch klar sein müssen, dass davon auch das Flash-Player-Update betroffen ist.
Unklar ist, warum Microsoft erst die Veröffentlichung aller Sicherheitsupdates absagt und eine Woche später doch noch das Flash-Player-Update nachreicht. Der Blog-Eintrag des Microsoft-Sicherheitsteams zum Sicherheitsupdate MS17-005 fällt äußerst wortkarg aus und liefert daher keine Erklärung. Anzunehmen ist, dass Microsoft sich für die Veröffentlichung des Sicherheitsupdates doch noch im Februar und nicht erst im März entschieden hat, weil durch die Mitteilung von Adobe in der vergangenen Woche die Informationen zu den Lücken im Flash Player publik gemacht wurden und dadurch auch für Angriffe ausgenutzt werden können. Aber auch das dürfte das Sicherheitsteam von Microsoft nicht überrascht haben, denn auch Adobe liefert seine Updates immer am zweiten Dienstag eines Monats aus.
Google-Team macht Zero-Day-Lücke in Windows publik
Erst kürzlich hatte sich auch Google erneut mit Microsoft angelegt und die Details zu einer Zero-Day-Sicherheitslücke in Windows publik gemacht, bevor Microsoft ein Sicherheitsupdate ausgeliefert hat. Das Google-Sicherheitsteam Project Zero hatte den hier dokumentierten Bug bereits im November 2016 an Microsoft gemeldet. Nach Ablauf von 90 Tagen wurden die Informationen veröffentlicht. Eventuell wollte Microsoft den Bug mit dem Patch Day im Februar beheben. Durch die Absage des Patch Days gelangte das Update nicht an die Nutzer. Dennoch sah Project Zero keinen Grund, die Frist zu verlängern. Die betreffende Lücke steckt in der Windows GDI-Bibliothek von Windows 8.1 (32- und 64-Bit). Microsoft hatte die Existenz der Lücke bereits einen Tag nach der Meldung durch die Google-Experten bestätigt.
Autor: Panagiotis Kolokythas, Chefredakteur
Panagiotis "Takis" Kolokythas schreibt seit über 20 Jahren News, Ratgeber und Tipps zu fast allen IT-Themen.