2517628

Windows 10: Notfall-Updates stopfen schwere Lücken

01.07.2020 | 13:44 Uhr | Panagiotis Kolokythas

Microsoft liefert für Windows 10 zwei Notfall-Updates aus. Aber nicht über Windows Update, sondern über einen ungewöhnlichen Weg.

Für Windows 10 werden zwei Notfall-Updates verteilt, mit denen Microsoft zwei neu bekannt gewordene Sicherheitslücken stopft. Statt bis zum nächsten regulären Patch-Day, also am Dienstagabend, den 14. Juli 2020, zu warten, hat sich Microsoft aufgrund der Dringlichkeit dazu entschlossen, die beiden Updates außer der Reihe freizugeben. Entdeckt und gemeldet wurden die beiden Sicherheitslücken vom ZDI-Sicherheitsexperten Abdul Aziz Hariri.

Laut den Sicherheitsbulletins CVE-2020-1425 und CVE-2020-1457 stecken die Sicherheitsanfälligkeiten in der Windows Codec Library. Die eine Lücke könnte laut Angaben von Microsoft ein Angreifer mit einer entsprechend manipulierten Bild-Datei dazu missbrauchen, um in den Besitz von Informationen zu gelangen, mit denen das System des Benutzers weiter geschädigt werden könnte. Dem zweiten Sicherheitsbulletin zufolge könnte ein Angreifer auf dem angegriffenen System auch einen beliebigen Programmcode ablaufen lassen.

Mit den Updates behebt Microsoft die Lücken, indem die Art und Weise korrigiert wird, mit denen die Windows Codec Library Daten aus dem Arbeitsspeicher verarbeitet. Von den Lücken sind alle Windows-10-Versionen ab Windows 10 Version 1709 und diverse Windows-Server-Versionen betroffen.

Updates nicht über Windows Update erhältlich

Einen eher ungewöhnlichen Weg geht Microsoft bei der Verteilung der kritischen Notfall-Updates: Windows-10-Nutzer erhalten die betreffenden Updates nämlich nicht über Windows Update, sondern über den Microsoft Store, der sich die Updates für die Windows Codec Library laut Microsoft automatisch herunterlädt und dann auf den betroffenen Systemen installiert. Weitere Details verrät Microsoft nicht. Die verfügbaren Updates listet die Microsoft Store App nach einem Klick auf "..." oben rechts und der Auswahl von "Downloads und Updates" im Menü auf. Anschließend klicken Sie auf "Updates aufrufen".

Der Entdecker der Lücken retweetete einen Tweet, laut dem beim Aufruf der Microsoft-Store-App diese App aktualisiert wird und dabei  dann auch die beiden Updates auf das System aufgespielt werden, die die Lücke schließen. Auf unserem Rechner lag aber bisher (Stand: 1.7., 13:00 Uhr) noch keine Aktualisierung für die Microsoft-Store-App vor.

PC-WELT Marktplatz

2517628