Kommentar zum Microsoft Patchday Februar 2014

Welche Security Bulletins haben derzeit Priorität?

| Autor / Redakteur: Wolfgang Kandek / Stephan Augsten

Die Zeit drängt: Wolfgang Kandek von Qualys geht auf die wichtigsten Updates zum jüngsten Microsoft-Patchday ein.
Die Zeit drängt: Wolfgang Kandek von Qualys geht auf die wichtigsten Updates zum jüngsten Microsoft-Patchday ein. (Bild: Archiv)

Microsoft hatte vergangene Woche fünf Security Bulletins angekündigt, erweiterte die Liste aber nachträglich um zwei kritische Update-Pakete für den Internet Explorer. Paketierungsprobleme hatten die Aufnahme dieser beiden Updates in die Patchday-Liste zunächst verhindert, konnten über das Wochenende aber gelöst werden.

Wolfgang Kandek: „Die MD5-Ablehnung bei Zertifikaten gilt mittlerweile als Best Practice für SSL.“
Wolfgang Kandek: „Die MD5-Ablehnung bei Zertifikaten gilt mittlerweile als Best Practice für SSL.“ (Qualys)

Das wichtigste Microsoft-Sicherheitsbulletin ist in diesem Monat ohne Zweifel MS14-010 für den Internet Explorer (IE), das 24 Sicherheitslücken stopft (Security-Insider berichtete). Es betrifft sämtliche Browser-Versionen, vom IE6 auf Windows XP bis hin zu IE11 auf Windows RT. Angriffe auf diese Sicherheitslücken würden über den meistgenutzten Angriffsvektor überhaupt durchgeführt werden, nämlich manipulierte Webseiten.

Das nächste Bulletin auf unserer Prioritätenliste ist MS14-007, jedenfalls für Nutzer von Windows 7 oder höher. Dieser Patch behebt ein Problem in der Grafikbibliothek DirectWrite. Ein Angriff würde über den Browser mithilfe einer bösartigen Webseite erfolgen, die das Tag für skalierbare Vektorgrafiken nutzt – was uns wieder einmal ins Gedächtnis ruft, dass neue Technologien meist nicht frei von Implementierungsschwachstellen sind.

Apropos webbasierte Angriffe: In der vergangenen Woche gab Adobe einen außerplanmäßigen Patch für eine Zero-Day-Lücke in Adobe Flash heraus. Der Angriff war von Kaspersky entdeckt worden; betroffen sind alle aktuellen Versionen von Adobe Flash auf Windows und Mac OS X. Wenn Sie Adobe Flash direkt installiert haben, sollten Sie diese Schwachstelle unbedingt schnellstmöglich beseitigen.

Eines der verbleibenden kritischen Microsoft Bulletins ist MS14-011 zur Schließung einer Lücke in VBScript, der für den Internet Explorer verwendeten Skriptsprache (Angriffe erfolgen auch hier wieder über manipulierte Webseiten). Das Update MS14-008 behebt Dateiformat-Schwachstelle in Forefront für Exchange, einem älteren Anti-Spam-Produkt.

Microsoft bessert an mehreren Stellen nach

Die Updates MS14-005 für MSXML, MS14-006 für Windows und MS14-009 für .NET haben alle die Einstufung „hoch“, weil sie keine Remote-Codeausführung erlauben, jedoch zur Offenlegung von Informationen und zu Denial-of-Service-Angriffen führen könnten. MS14-005 betrifft eine Information-Disclosure-Schwachstelle, die bereits im vergangenen Jahr für Angriffe ausgenutzt worden war.

Microsoft deaktivierte das für den Angriff unerlässliche ActiveX-Steuerelement seinerzeit mit seinem Bulletin MS13-090. Mit dem neuen Update MS14-005 behebt nun die zweite für den Angriff notwendige Anfälligkeit, um die Problemlösung abzuschließen. MS14-009 stopft eine Reihe bekannter Sicherheitslücken, die beispielsweise den wohlbekannten HTTP-DoS-Angriff Slowloris ermöglichen.

Darüber hinaus hat Microsoft die Sicherheitsempfehlung KB2862973 veröffentlicht, um die Verfügbarkeit eines Updates zur Ablehnung der MD5-Algorithmen in Zertifikaten bekanntzugeben. Es war bereits vor sechs Monaten, im August, zur manuellen Installation und Testzwecken herausgegeben worden.

Jetzt steht der Patch also auch als automatischer Download im Rahmen von Windows Update zur Verfügung. Die MD5-Ablehnung bei Zertifikaten gilt mittlerweile als Best Practice für SSL. Bei den Qualys SSL Labs-Tests führt ein MD5-Zertifikat seit dem Release vom Januar 2014 zur Note F, also zum Nicht-Bestehen.

Alles in allem lässt sich konstatieren, dass wir nach dem ruhigen Patchday im Januar jetzt wieder zur Normalität zurückgekehrt sind: mit sieben Bulletins von Microsoft und einem von Adobe, wobei die dringlichsten Patches diejenigen für Adobe Flash, IE sowie Windows 7 und 8 – DirectWrite sind.

Über den Autor

Wolfgang Kandek ist Chief Technical Officer bei Qualys.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42532682 / Schwachstellen-Management)