Februar-Patchday: Microsoft schließt drei Zero-Day-Lücken

Microsoft hat neue Sicherheitsupdates veröffentlicht. Der Februar-Patchday bringt Fixes für 75 Anfälligkeiten, von denen neun als kritisch eingestuft sind. Darunter sind auch drei Zero-Day-Lücken, die nach Angaben des Unternehmens bereits aktiv von Hackern für Angriffe benutzt werden.

Dazu gehört eine Anfälligkeit in Microsoft Publisher, die das Umgehen von Sicherheitsfunktionen erlaubt. Ein Angriff ist jedoch ohne vorherige Authentifizierung nicht möglich. Zudem muss ein Opfer dazu verleitet werden, eine speziell gestaltete Datei zu öffnen, die dann die Makro-Richtlinien von Office aushebelt.

Zero-Day-Lücke auch in der Windows-Grafikkomponente

Eine nicht autorisierte Ausweitung von Benutzerrechten lässt sich über eine weitere Zero-Day-Lücke in im Treiber des gemeinsamen Protokolldateisystems erreichen. Die Zero Day Initiative weist darauf hin, dass sich dieser Bug mit einer weiteren Schwachstelle kombinieren lässt, die eine Remotecodeausführung ermöglicht, um Schadsoftware oder Ransomware einzuschleusen.

Die dritte Zero-Day-Lücke steckt in der Windows-Grafikkomponente. Ein Angreifer könnte aus der Ferne Schadcode einschleusen und ausführen, und zwar mit System-Rechten. Microsoft weist darauf hin, dass der Patch für diese Anfälligkeit über den Microsoft Store und nicht über Windows Update verteilt wird.

Schwachstelle in Word besonders schwerwiegend

Als kritisch bewertet Microsoft Sicherheitslücken in .NET und Visual Studio, im PEAP-Protokoll, im SQL-ODBC-Treiber und in Microsoft Word. Alle neuen kritischen Schwachstellen erlauben eine Remotecodeausführung. Im zehnstufigen Common Vulnerability Scoring System (CVSS) sind sie mit bis zu 9,8 Punkten bewertet. Die Zero Day Initiative warnt vor allem vor der Word-Lücke, da sie sich ohne Interaktion mit einem Anwender ausnutzen lässt.

Weitere Löcher stopft Microsoft in Azure App Service, Azure Machine Learning, HoloLens, Dynamics, Exchange Server, Office, Power BI und der Windows Medienbibliothek. Außerdem sind Windows-Komponenten wie Kryptografiedienste, Installer, Kerberos und Kernel betroffen.

Die Verteilung der Patches erfolgt wie immer über Windows Update oder Dienste wie Windows Server Update Services. Angesichts der drei Zero-Day-Lücken sowie der neuen kritischen Anfälligkeiten erscheint eine zeitnahe Installation der Fehlerkorrekturen ratsam.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Stunde ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

5 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

6 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

7 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

7 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

9 Stunden ago