Patchday: Microsoft schließt vorab von Google offengelegte Windows-Lücke

Microsoft hat an seinem ersten Patchday des Jahres 2015 acht Sicherheitsaktualisierungen veröffentlicht. Eine davon beseitigt eine kritische Schwachstellen im Telnet-Service von Windows, der jedoch nicht standardmäßig aktiviert ist (mit Ausnahme des nicht mehr offiziell unterstützten Windows Server 2003). Die übrigen sieben Updates sind als wichtig eingestuft und für nahezu alle Versionen von Windows und Windows Server verfügbar.

Die kritische Schwachstelle lässt sich ausnutzen, um Schadcode auf ein System einzuschleusen und auszuführen. Betroffen sind Windows Server 2003, 2008, 2008 R2 und 2012, Windows Vista, 7, 8 und 8.1. Die wichtigen Aktualisierungen korrigieren Fehler, die Angreifern eine unautorisierte Ausweitung der Nutzerrechte, eine Umgehung in Windows integrierter Sicherheitsfunktionen und Denial-of-Service-Attacken erlauben.

Unter den jetzt geschlossenen Lücken ist auch die am Montagmorgen von Google öffentlich gemachte Schwachstelle im User Profile Service von Windows. Sie ermöglicht einem lokalen Angreifer ebenfalls Rechteerweiterungen, wenn er sich bei einem System anmeldet und eine speziell gestaltete Anwendung ausführt. Außer in den 32- und 64-Bit-Editionen von Windows 8.1, wie von Google gemeldet, findet sich das Sicherheitsloch auch in allen anderen aktuellen Windows- und Windows-Server-Versionen.

Microsoft hatte Google wegen der vorzeitigen Offenlegung der Sicherheitslücke scharf kritisiert, weil der Internetkonzern Details dazu veröffentlicht hatte, obwohl er wusste, dass Microsoft an seinem Januar-Patchday ein Update dafür herausbringen will. Google verteidigte sich, indem es auf seine Richtlinien verwies: Es sieht eine Sperrfrist von 90 Tagen vor, bevor es Einzelheiten zu einer Anfälligkeit publik macht. Über die fragliche Schwachstelle hatte es Microsoft nach eigener Aussage am 13. Oktober informiert – die Offenlegung erfolgte dementsprechend am 12. Januar. Am 8. Januar hatte Microsoft Google zufolge jedoch schon bestätigt, dass es ein Update plane.

Chris Betz, Senior Director des Microsoft Security Response Center, erklärte dazu in einem Blogeintrag, die Leidtragenden eines solchen Vorgehens seien die Kunden. „Was richtig ist für Google, ist nicht immer richtig für die Kunden. Wir bitten Google dringend, den Schutz der Kunden zu unserem gemeinsamen primären Ziel zu machen.“

Neben den acht Patches stellt Microsoft wie üblich auch eine aktualisierte Version seines „Windows-Tool zum Entfernen bösartiger Software“ bereit. Das Programm erkennt und löscht eine Auswahl gängiger Malware, die sich im System eingenistet hat.

Anwender sollten die Januar-Updates schnellstmöglich installieren. Die Patches können direkt über die jeweiligen Bulletins oder Microsoft Update beziehungsweise Windows Update bezogen werden.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.