Microsoft schließt Krypto-Lücke in Windows

Am ersten Update-Dienstag des Jahres hat Microsoft insgesamt 49 Schwachstellen beseitigt. Darunter ist auch eine Sicherheitslücke in Windows, die durch die NSA gemeldet wurde.

Mit den im Januar bereitgestellten Updates schließt Microsoft insgesamt 49 Sicherheitslücken. Darunter sind acht Lücken, die Microsoft als kritisch einstuft. Diese betreffen Windows, den Internet Explorer, das .NET Framework sowie ASP.NET. Die die übrigen Lücken stuft Microsoft als hohes Risiko ein. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI und Bleeping Computer das Thema Patch Day auf.

Internet Explorer (IE)

Das neue kumulative Sicherheits-Update (4534251) für den Internet Explorer 9 bis 11 beseitigt lediglich eine Schwachstelle (CVE-2020-0640) in dem veralteten Browser. Microsoft stuft sie als kritisch ein. Sie basiert auf einem Fehler bei Speicherzugriffen und kann mittels präparierter Web-Seiten genutzt werden, um Code einzuschleusen und mit Benutzerrechten auszuführen.

Edge

Für den Browser Edge hat Microsoft auch im Januar keine Sicherheits-Updates veröffentlicht. Stattdessen will Microsoft ab heute den Browser mit Microsoft-eigenem HTML-Renderer zwangsweise durch Edge auf Chromium-Basis ersetzen . Dies soll die Weiterentwicklung beschleunigen, an der sich Microsoft bereits seit mehr als einem Jahr beteiligt. Außerdem sollen Sicherheits-Updates schneller beim Benutzer ankommen.

Office

Für seine Office-Familie liefert Microsoft im Januar Updates gegen sieben Sicherheitslücken aus. Microsoft stuft keine dieser Lücken als kritisch ein. Allerdings sind darunter vier Schwachstellen (CVE-2020-0650 bis -0653), die es möglich machen, mittels präparierter Office-Dokumente Code einzuschleusen und diesen mit Benutzerrechten auszuführen. Drei dieser Lücken stecken in Excel.

Windows

Der überwiegende Teil der Schwachstellen, 36 Lücken, verteilt sich über die verschiedenen Windows-Versionen, für die Microsoft noch Sicherheits-Updates anbietet. Denken Sie daran, dass dies die letzten regulären Sicherheits-Updates für Windows 7 sowie Server 2008 und 2008 R2 sein werden.

Microsoft stuft drei Windows-Lücken (CVE-2020-0609 bis -0611) als kritisch ein. Alle betreffen die Remote-Desktop-Funktionalität. Zwei dieser Lücken stecken im RDP Gateway Server bei Windows Server 2012 bis 2019, eine im RDP-Client aller Windows-Versionen. In Kombination bilden sie eine Exploit-Kette für Angriffe, um die Kontrolle über das System zu übernehmen.

Bereits im Vorfeld hat die Schwachstelle CVE-2020-0601 einigen medialen Staub aufgewirbelt, weil sie durch den US-Geheimdienst NSA an Microsoft gemeldet wurde. Die Lücke steckt in der Krypto-Bibliothek (crypt32.dll) von Windows 10 sowie Windows Server. Ein Angreifer könnte zum Beispiel ein Zertifikat erstellen, um damit ein schädliches Programm zu signieren. Dieses würde durch Windows-eigene Schutzfunktionen als vermeintlich legitime und vertrauenswürdige Software durchgewinkt.

Gleich 12 praktisch identische Sicherheitslücken hat ein Sicherheitsforscher des chinesischen Sicherheitsunternehmens Qihoo 360 in der Suchindexerstellung aller Windows-Versionen entdeckt und an Microsoft gemeldet. Ein lokaler Benutzer, der einer der Lücken ausnutzt, könnte Code mit erhöhten Berechtigungen ausführen.

Für die beim Update-Dienstag geschlossenen Sicherheitslücken sind bislang keine Angriffe bekannt, bei denen eine der Lücken ausgenutzt würde. Auch Exploit-Code ist bis dato nicht veröffentlicht worden.

Flash Player

Adobe hat kein Update für den in die Microsoft-Browser integrierten Flash Player bereitgestellt. Der installierbare Flash Player für andere Browser ist in der neuen Version 32.0.0.314 erhältlich, in der Adobe ein paar Bugs gefixt, jedoch keine Sicherheitslücken gestopft hat.

Schließlich gibt es, wie in fast jedem Monat, auch im Januar wieder das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 11. Februar.