Die von Microsoft am 11. Februar bereitgestellten Updates sollen insgesamt 99 Sicherheitslücken schließen. Darunter sind 12 Lücken, die Microsoft als kritisch einstuft. Diese betreffen Windows, den Internet Explorer und Edge (Edge-HTML). Die die übrigen Lücken stuft Microsoft als hohes Risiko ein. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI und Bleeping Computer das Thema Patch Day auf.
Internet Explorer (IE)
Das neue kumulative Sicherheits-Update (4537767) für den Internet Explorer 9 bis 11 beseitigt drei Schwachstellen in dem veralteten Browser. Microsoft stuft zwei der Lücken als kritisch ein. Die Sicherheitslücke CVE-2020-0674 ist bereits seit Mitte Januar bekannt und unter Beschuss. Das Update ist zwar auch für Windows 7 verfügbar, die Installation kann jedoch nur erfolgreich abgeschlossen werden, wenn Ihr Rechner zu einer Organisation gehört, die am kostenpflichtigen ESU-Programm (Extended Security Updates) teilnimmt. Allen anderen bleibt nur, den von Microsoft bereits im Januar empfohlenen Workaround zu benutzen. Dies ist auch dann zu empfehlen, wenn Sie nicht mit dem IE ins Web gehen, denn schädlicher Code könnte auch über in Office-Dokumente eingebettete Objekte eingeschleust werden.
Edge
In der alten Generation des Edge-Browsers (Edge-HTML) hat Microsoft im Februar sieben Sicherheitslücken beseitigt. Fünf dieser Lücken stuft Microsoft als kritisch ein. Das bereits vorab bekannte Datenleck CVE-2020-0706 teilen sich Edge und IE. Die neue Generation Edge (Chromium-based) hat bereits in der Vorwoche ein Update erhalten, das zahlreiche Sicherheitslücken schließt.
Office
Für seine Office-Familie liefert Microsoft im Februar Updates gegen sechs Sicherheitslücken aus. Microsoft stuft keine dieser Lücken als kritisch ein. Allerdings ist eine Excel-Schwachstelle (CVE-2020-0759) darunter, die es ermöglicht, mittels präparierter Office-Dokumente Code einzuschleusen und diesen mit Benutzerrechten auszuführen.
Windows
Der überwiegende Teil der Schwachstellen, 79 Lücken, verteilt sich über die verschiedenen Windows-Versionen, für die Microsoft noch Sicherheits-Updates anbietet. Windows 7 sowie Server 2008 und Server 2008 R2 gehören nun zwar nicht mehr dazu, sind jedoch auch betroffen. Nur am ESU-Programm teilnehmende Organisationen erhalten noch Updates für diese Systeme.
Microsoft stuft fünf Windows-Lücken als kritisch ein. Zwei betreffen die RDP-Clients (Remote Desktop) aller Windows-Versionen. Eine neu entdeckte LNK-Lücke (CVE-2020-0729) erinnert an eine gleichartige Lücke zu Stuxnet -Zeiten (2010) und betrifft ebenfalls alle Windows-Versionen. Dies gilt auch für CVE-2020-0662, über die Microsoft nur verrät, dass ein Domain-Benutzer damit Code mit erhöhten Rechten ausführen könnte. Und auch die kritische Schwachstelle CVE-2020-0738 in der Windows Media Foundation steckt in allen Windows-Versionen.
Weitere 0-Day-Lücken
Neben den beiden Browser-Lücken waren noch drei Windows-Schwachstellen bereits vor diesem Patch Day bekannt. Zwei davon (CVE-2020-0683, CVE-2020-0686) betreffen den Windows-Installer. Dieser ist vor allem für die Software-Installation mit MSI-Paketen zuständig. Ein angemeldeter Benutzer könnte sich höhere Berechtigungen verschaffen. Er könnte Zugriffsbeschränkungen umgehen, um Dateien hinzuzufügen oder zu entfernen. Die letzte 0-Day-Lücke (CVE-2020-0689) betrifft Secure Boot (sicherer Start). Ein Angreifer könnte die Sicherheitsfunktionen umgehen und beim Start nicht vertrauenswürdige Software laden.
Exchange Server
In allen unterstützten Versionen des Exchange Server (2010 bis 2019) steckt mit CVE-2020-0688 eine gravierende Sicherheitslücke. Ein Angreifer muss, um die Schwachstelle erfolgreich auszunutzen, lediglich eine speziell präparierte Mail senden. Wird diese durch einen anfälligen Exchange-Server verarbeitet, kann beliebiger Code eingeschleust und mit Systemberechtigungen ausgeführt werden. Die Mail muss also nicht erst durch einen Benutzer geöffnet werden.
Für die beim Update-Dienstag geschlossenen Sicherheitslücken sind, abgesehen von der oben genannten IE-Lücke, bislang keine Angriffe bekannt, bei denen eine der Lücken ausgenutzt würde.
Flash Player
Für den in die Microsoft-Browser integrierten Flash Player hat Adobe erstmals seit September 2019 wieder ein Sicherheits-Update bereitgestellt. Die neue Version 32.0.0.330 beseitigt eine als kritisch eingestufte Sicherheitslücke. Dies gilt auch für den separat installierbaren Flash Player für andere Browser sowie für den in Google Chrome integrierten.
Schließlich gibt es, wie in fast jedem Monat, auch im Februar wieder das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 10. März.
Quelle: Microsoft beseitigt 99 Sicherheitslücken zum Patch-Day - PC-WELT