Mit dem Patchday am 8. Januar veröffentlichte Microsoft insgesamt 7 Updates für seine Produkte. Die Updates beheben insgesamt 12 Sicherheitslücken, zwei dieser Lücken wurden als “kritisch” eingestuft. In diesem Artikel nehmen wir die Software Aktualisierungen für Sie einmal genau unter die Lupe.
Heute ist schon wieder Update-Dienstag bei Microsoft und auch Adobe will sich diesmal daran beteiligen. Wie schon im Vormonat kündigt Microsoft sieben Security Bulletins an. In zwei Bulletins soll es um als kritisch eingestufte Schwachstellen gehen, die es einem Angreifer ermöglichen können Code einzuschleusen und auszuführen. Die übrigen fünf Bulletins sind mit der zweithöchsten Risikoeinstufung (hoch/important) versehen. Insgesamt sollen 12 Sicherheitslücken geschlossen werden.
Eines der als kritisch eingestuften Bulletins betrifft lediglich Windows 7 und Server 2008 R2, einschließlich Server Core-Installationen. Im zweiten kritischen Bulletin soll es hingegen um eine Lücke gehen, die in allen noch unterstützten Windows-Versionen steckt – von XP über Server 2012 bis Windows RT. Für Windows Server lautet die Risikoeinstufung allerdings nur „moderate“ (mittleres Risiko). Neben Windows sind auch Office 2003/2007, Expression Web, Sharepoint Server 2007, Groove Server 2007 sowie System Center Operations Manager 2007 betroffen.
Letzterer weist noch eine weitere Schwachstelle auf, die genutzt werden kann, um sich zusätzliche Berechtigungen zu verschaffen. Drei Security Bulletins sollen sich mit derartigen Lücken beschäftigen, die in Windows sowie im .NET Framework stecken. Hinzu kommen Schwachstellen, die eine Umgehung eines Schutzmechanismus oder einen DoS-Angriff ermöglichen.
Der Internet Explorer wird in Microsofts Ankündigung nicht erwähnt. Somit wird die kürzlich bekannt gewordene Schwachstelle im IE 6 bis 8 wohl noch nicht beseitigt. Es gibt jedoch bereits ein Fix-it-Tool als Interimslösung, das den Angriffsvektor blockiert. Dieses wird jedoch nicht automatisch verteilt, es muss einmal manuell ausgeführt werden. Update: Auch dieses Tool behebt die Sicherheitslücke nicht, wie durch die Medien gegangen ist.
Außerdem hat Microsoft vor kurzem die Sicherheitsempfehlung 2798897 veröffentlicht. Darin geht es um ein am 6. Dezember 2012 fälschlich ausgestelltes Server-Zertifikat der türkischen CA TURKTRUST, das laut Microsoft für Angriffe auf Google-Nutzer benutzt wird. Das Zertifikat gilt für Subdomains unterhalb *.google.com und kann benutzt werden, um Web-Inhalte zu verfälschen, Phishing-Angriffe oder Man-in-the-Middle-Attacken durchzuführen. Die Zertifikatvertrauensliste (CTL) in Windows (alle Versionen) wird automatisch aktualisiert, falls das Sicherheits-Update 2677070 aus dem Juni 2012 installiert ist.
Der Microsoft Patchday findet immer am zweiten Dienstag des Monats statt. Microsoft verteilt in der Regel die Updates gegen 19 Uhr. Haben Sie die automatischen Updates aktiviert, so erledigt Windows die Installation automatisch. Eine Schritt-für-Schritt Anleitung, wie Sie die automatischen Updates aktivieren, finden Sie in diesem Artikel.
