Microsoft stopft kritische Telnet-Lücke

Vergrößern Patch Day Januar 2015

Microsoft hat die Ankündigung vor dem Patch Day abgeschafft, die es bislang am Donnerstag vor jedem Update-Dienstag veröffentlicht hatte. Dies wird damit begründet , dass diese Ankündigungen in erster Linie für Großkunden gedacht gewesen seien, damit diese das Ausrollen der Updates besser planen könnten. Microsoft habe jedoch erfahren, dass viele dieser Kunden den Service inzwischen gar nicht mehr nutzen. Daher werde man die Ankündigung nicht mehr veröffentlichen, für Premium-Kunden stünde sie jedoch weiterhin zur Verfügung – Microsoft-Logik.

Unter den acht Security Bulletins , die Microsoft am 13. Januar veröffentlicht hat, ist nur eines, das eine als kritisch eingestufte Sicherheitslücke behandelt. Dabei handelt es sich um eine Schwachstelle im Telnet-Dienst aller Windows-Versionen – mit Ausnahme von Windows RT, das keinen solchen Dienst enthält. Ein Angreifer könnte Code einschleusen und ausführen. Der Telnet-Dienst wird standardmäßig nicht installiert. Gefährdet sind also nur Systeme, auf denen der Telnet-Dienst manuell installiert wurde.

Die meisten anderen Windows-Lücken können es einem Angreifer ermöglichen sich höhere Berechtigungen zu verschaffen oder Sicherheitsmechanismen zu umgehen. Eine Schwachstelle in der RADIUS-Implementierung aller Windows Server kann für DoS-Angriffe genutzt werden. Im Erfolgsfall könnten sich Benutzer nicht an der Windows-Domäne anmelden.

Außerdem hat Microsoft das Security Bulletin MS14-080 (Sammel-Update für den Internet Explorer) aus dem Dezember aktualisiert. Ein darin enthaltener Patch gegen eine VBScript-Lücke (CVE-2014-6363) hat Probleme verursacht, die nun beseitigt sein sollen. Dazu wird nun für betroffene Systeme zusätzlich das Update 3029449 angeboten. Das eigentliche IE-Update 3008923 ist unverändert geblieben, muss also nicht neu installiert werden.

Ferner verteilt Microsoft das " Windows-Tool zum Entfernen bösartiger Software " in der neuen Version 5.20.