(Kommentare: 0)

Microsoft schließt 54 Sicherheitslücken mit seinen Patchday-Updates. Darunter die Freak-Lücke in Windows und die UXSS-Lücke im Internet Explorer. Auch ein alter Bekannter wird noch einmal gepatcht: Die LNK-Lücke, die durch Stuxnet berühmt wurde.

Microsoft hat am März-Patchday 54 Sicherheitslücken mit 14 Sammelupdates geschlossen, davon fünf als "kritisch" eingestuft, alle anderen haben die Priorität "hoch". Eigentlich würde man erwarten, dass von diesen Patches besonders das Sicherheitsupdate von SChannel, welches die Freak-Lücke schließt, im Mittelpunkt der Aufmerksamkeit steht. Das Freak-Update wird allerdings von einem anderem überschattet, mit dem Microsoft eine Lücke schließt, die seit mindestens 2008 in Windows klafft und die eigentlich seit 2010 mit einem Patch abgedichtet sein sollte.

Hierbei handelt es sich um die sogenannte LNK-Lücke, die auch von Stuxnet und der Equation Group genutzt wurde, um Rechner zu infizieren – unter anderem um die iranische Atomanlage in Natanz zu sabotieren. Wie die Zero Day Initiative von HP nun veröffentlicht hat, schloss Microsofts Patch aus dem Jahre 2010 (MS10-046) die Lücke nicht vollständig. Deswegen musste Microsoft nun ein weiteres Update (MS15-20) nachlegen, welches die Lücke nun hoffentlich endgültig abdichtet. Dementsprechend ist das Update auch als "kritisch" eingestuft.

Die anderen vier kritischen Updates sind ein Sammelupdate für den Internet Explorer und Patches für Lücken in VBScript, in Microsoft Office und in einem Schriftartentreiber von Adobe, durch die Angreifer allesamt aus der Ferne Code ausführen können. Das Update für den Internet Explorer dichtet unter anderem die Universal-XSS-Lücke (UXSS) ab, über die bösartige Webseiten die Nutzerdaten anderer Webseiten abgreifen können.

Freak-Patch, aber nicht für Windows Phone

Den Freak-Patch schätzt Microsoft als "wichtig" ein. Microsoft selbst gehört zu den Entdeckern der Lücke, mit der einem Rechner schwache Krypto-Schlüssel untergeschoben werden können. Die Firma hatte zuerst angenommen, die Krypto-Infrastruktur von Windows sei dagegen gefeit, dann das Gegenteil bestätigt und nun liefert sie einen Patch für SChannel auf allen betroffenen Desktop- und Serverversionen von Windows aus. Ausgenommen ist die Entwickler-Version von Windows 10, die nach wie vor verwundbar ist. Windows Phone, welches Updates außerhalb des Patchdays erhält, ist ebenfalls immer noch angreifbar.

Am Rande des Patchdays gab Microsoft bekannt, dass ihr Tool zum Entfernen bösartiger Software (MSRT) seit dem 19. Februar das Superfish-Zertifikat erkennt und entfernt. Um das umzusetzen, hatte die Firma direkt mit Lenovo zusammengearbeitet.

Microsoft hat ebenfalls bekanntgegeben, dass ab sofort ein Update für Windows 7 und Windows-Server 2008 R2 erneut verteilt wird, das im Oktober 2014 zurückgezogen worden war. Mit dem Update unterstützen diese Betriebssysteme den SHA-2-Algorithmus zum Signieren und Verifizieren von Daten. Das Original-Update im Oktober hatte bei der Installation bei einigen Nutzern Probleme verursacht.

Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT und Windows RT 8.1 beherrschen SHA-2 bereits. Der Algorithmus soll den veralteten und als unsicher geltenden Vorgänger SHA-1 ablösen.

Info von heise.de

Urheberrecht 2025 edm-service Marco Pracht in 29633 Munster

Einstellungen gespeichert

Datenschutzeinstellungen

Wenn Sie lediglich die erforderlichen Einstellungen zulassen, wird Ihnen die Website möglicherweise nicht vollständig angezeigt und es können Fehler auftreten.

Die Einstellung "Komfort" wird von uns empfohlen. Somit können Sie unser Angebot vollumfänglich genießen.

user_privacy_settings

Domainname: https://webdesign24.biz
Ablauf: 30 Tage
Speicherort: Localstorage
Beschreibung: Speichert die Privacy Level Einstellungen aus dem Cookie Consent Tool "Privacy Manager".

user_privacy_settings_expires

Domainname: https://webdesign24.biz
Ablauf: 30 Tage
Speicherort: Localstorage
Beschreibung: Speichert die Speicherdauer der Privacy Level Einstellungen aus dem Cookie Consent Tool "Privacy Manager".

ce_popup_isClosed

Domainname: https://webdesign24.biz
Ablauf: 30 Tage
Speicherort: Localstorage
Beschreibung: Speichert, dass das Popup (Inhaltselement - Popup) durch einen Klick des Benutzers geschlossen wurde.

onepage_animate

Domainname: https://webdesign24.biz
Ablauf: 30 Tage
Speicherort: Localstorage
Beschreibung: Speichert, dass der Scrollscript für die Onepage Navigation gestartet wurde.

onepage_position

Domainname: https://webdesign24.biz
Ablauf: 30 Tage
Speicherort: Localstorage
Beschreibung: Speichert die Offset-Position für die Onepage Navigation.

onepage_active

Domainname: https://webdesign24.biz
Ablauf: 30 Tage
Speicherort: Localstorage
Beschreibung: Speichert, dass die aktuelle Seite eine "Onepage" Seite ist.

view_isGrid

Domainname: https://webdesign24.biz
Ablauf: 30 Tage
Speicherort: Localstorage
Beschreibung: Speichert die gewählte Listen/Grid Ansicht in der Demo CarDealer / CustomCatalog List.

portfolio_MODULE_ID

Domainname: https://webdesign24.biz
Ablauf: 30 Tage
Speicherort: Localstorage
Beschreibung: Speichert den gewählten Filter des Portfoliofilters.

Eclipse.outdated-browser: "confirmed"

Domainname: https://webdesign24.biz
Ablauf: 30 Tage
Speicherort: Localstorage
Beschreibung: Speichert den Zustand der Hinweisleiste "Outdated Browser".
You are using an outdated browser. The website may not be displayed correctly.