Januar-Patchday: Microsoft schließt acht Sicherheitslücken

BetriebssystemSicherheitSicherheitsmanagementWorkspace
Microsoft (Bild: Microsoft)

Sie stecken in Windows und Windows Server. Sieben der Updates werden von Microsoft als “wichtig” eingestuft, eine der Sicherheitslücken als “kritisch”. Wegen einer der nun geschlossenen Lücken kam es in den vergangen Tagen zum Streit zwischen Microsoft und Google: Der Internetkonzern hatte sie bereits am Montagmorgen bekannt gemacht.

Microsoft hat im Rahmen des Januar-Patchday acht Sicherheitsaktualisierungen bereitgestellt. Eines der Updates behebt eine kritische Schwachstelle im Telnet-Service von Windows. Der ist – außer beim offiziell nicht mehr unterstützten Windows Server 2003 – standardmäßig jedoch nicht aktiviert. Die übrigen sieben Updates stuft Microsoft als “wichtig” ein. Sie sind für nahezu alle Versionen von Windows und Windows Server verfügbar.

Januar-Patchday: Microsoft schließt acht Sicherheitslücken (Bild: Microsoft)

Die als “kritisch” eingestufte Schwachstelle lässt sich ausnutzen, um Schadcode auf ein System einzuschleusen und auszuführen. Betroffen sind Windows Server 2003, 2008, 2008 R2 und 2012, Windows Vista, 7, 8 und 8.1. Die als “wichtig” klassifizierten Aktualisierungen korrigieren Fehler, die Angreifern die unautorisierte Ausweitung der Nutzerrechte ermöglichen, ihnen helfen in Windows integrierte Sicherheitsfunktionen zu umgehen oder Denial-of-Service-Attacken erlauben.

Unter den zum Januar-Patchday geschlossenen Lücken ist auch die am Montagmorgen von Google beschriebene Schwachstelle im User Profile Service von Windows. Sie erlaubt einem lokalen Angreifer ebenfalls Rechteerweiterungen. Dazu muss er sich lediglich bei einem System anmelden und eine speziell gestaltete Anwendung ausführen. Außer in den 32- und 64-Bit-Editionen von Windows 8.1, wie von Google gemeldet, findet sich dieser Fehler h auch in allen anderen aktuellen Versionen von Windows und Windows Server.

Microsoft hatte Google wegen der Offenlegung der Sicherheitslücke scharf kritisiert. Der Internetkonzern habe Details veröffentlicht, obwohl er wusste, dass Microsoft kurz darauf ein Update herausbringen wird. Google verteidigte sich mit dem Hinweis auf seine eigenen Richtlinien: Darin ist eine Sperrfrist von 90 Tagen vorgesehen, bevor Einzelheiten zu einer von den Goiogle-Experten entdeckten Anfälligkeit publik gemacht werden. Man habe Microsoft bereits am 13. Oktober informiert. Dementsprechend folgte die Offenlegung am 12. Januar. Microsoft erklärt jedoch, dass man Google bereits am 8. Januar bestätigt hatte, dass ein Update kommt.

Neben den acht Patches stellt Microsoft wie üblich auch eine aktualisierte Version seines “Windows-Tool zum Entfernen bösartiger Software” bereit. Das Programm erkennt und löscht eine Auswahl häufig auftretender Malware, falls sich die im System eingenistet hat. Anwender sollten die Januar-Updates schnellstmöglich installieren. Die Patches können direkt über die jeweiligen Bulletins oder Microsoft Update beziehungsweise Windows Update bezogen werden.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen