Februar-Patchday: Microsoft schließt drei Zero-Day-Lücken

Microsoft hat neue Sicherheitsupdates veröffentlicht. Der Februar-Patchday bringt Fixes für 75 Anfälligkeiten, von denen neun als kritisch eingestuft sind. Darunter sind auch drei Zero-Day-Lücken, die nach Angaben des Unternehmens bereits aktiv von Hackern für Angriffe benutzt werden.

Dazu gehört eine Anfälligkeit in Microsoft Publisher, die das Umgehen von Sicherheitsfunktionen erlaubt. Ein Angriff ist jedoch ohne vorherige Authentifizierung nicht möglich. Zudem muss ein Opfer dazu verleitet werden, eine speziell gestaltete Datei zu öffnen, die dann die Makro-Richtlinien von Office aushebelt.

Zero-Day-Lücke auch in der Windows-Grafikkomponente

Eine nicht autorisierte Ausweitung von Benutzerrechten lässt sich über eine weitere Zero-Day-Lücke in im Treiber des gemeinsamen Protokolldateisystems erreichen. Die Zero Day Initiative weist darauf hin, dass sich dieser Bug mit einer weiteren Schwachstelle kombinieren lässt, die eine Remotecodeausführung ermöglicht, um Schadsoftware oder Ransomware einzuschleusen.

Die dritte Zero-Day-Lücke steckt in der Windows-Grafikkomponente. Ein Angreifer könnte aus der Ferne Schadcode einschleusen und ausführen, und zwar mit System-Rechten. Microsoft weist darauf hin, dass der Patch für diese Anfälligkeit über den Microsoft Store und nicht über Windows Update verteilt wird.

Schwachstelle in Word besonders schwerwiegend

Als kritisch bewertet Microsoft Sicherheitslücken in .NET und Visual Studio, im PEAP-Protokoll, im SQL-ODBC-Treiber und in Microsoft Word. Alle neuen kritischen Schwachstellen erlauben eine Remotecodeausführung. Im zehnstufigen Common Vulnerability Scoring System (CVSS) sind sie mit bis zu 9,8 Punkten bewertet. Die Zero Day Initiative warnt vor allem vor der Word-Lücke, da sie sich ohne Interaktion mit einem Anwender ausnutzen lässt.

Weitere Löcher stopft Microsoft in Azure App Service, Azure Machine Learning, HoloLens, Dynamics, Exchange Server, Office, Power BI und der Windows Medienbibliothek. Außerdem sind Windows-Komponenten wie Kryptografiedienste, Installer, Kerberos und Kernel betroffen.

Die Verteilung der Patches erfolgt wie immer über Windows Update oder Dienste wie Windows Server Update Services. Angesichts der drei Zero-Day-Lücken sowie der neuen kritischen Anfälligkeiten erscheint eine zeitnahe Installation der Fehlerkorrekturen ratsam.