Chief Security Advisor Blog - Deutschland - Michael Kranawetter

Sicherheitsupdates Mai 2013

Michael Kranawetter - CSA — Wed, 15 May 2013 00:56:00 GMT

Microsoft hat heute zehn Sicherheitsupdates veröffentlicht, von denen zwei als "kritisch" und acht als „wichtig“ eingestuft werden. Insgesamt werden 33 Sicherheitslücken geschlossen. Die kritischen Bulletins beheben Schwachstellen in Microsoft Windows und Internet Explorer, die acht als „wichtig“ bewerteten Updates betreffen Microsoft Windows, Office, Server und Tools sowie .NET.

Die aus unserer Sicht wichtigsten Bulletins sind MS13-037 (Internet Explorer, elf Schwachstellen), MS13-038 (Internet Explorer 8) und MS13-039 (Windows; Einstufung als „wichtig“ unter Windows 8 und Windows Server 2012). Diese Updates sollten priorisiert werden beim Testen und installieren.

MS13-038 schließt die zuvor beschriebene Lücke in Internet Explorer 8, für die bislang ein Fix it existierte. Kunden, die das Fix it installiert haben, sollten dennoch auf jeden Fall auch das aktuelle Update installieren. Im Unterschied zu allen anderen in diesem Monat behobenen Schwachstellen wird die Sicherheitslücke, die durch MS13-038 behoben wird, in gezielten Angriffen missbraucht.

Außerdem wurden noch verschiedene Sicherheitsempfehlungen veröffentlicht beziehungsweise aktualisiert: 2755801 (Update für Adobe Flash in Internet Explorer 10), 2820197 (Update-Rollup für ActiveX-Kill-Bits) und 2846338 (Schwachstelle in Microsoft Malware Protection Engine).

Am Mittwoch, den 15. Mai liefert ein Webcast um 20.00 Uhr MEZ weitere Antworten rund um die Bulletins. Der Webcast ist anschließend „on demand“ verfügbar

Vorankündigung: Sicherheitsupdates Mai 2013

Michael Kranawetter - CSA — Thu, 09 May 2013 19:02:00 GMT

Microsoft wird am kommenden Dienstag zehn Sicherheitsupdates veröffentlichen, von denen zwei als "kritisch" und acht als „wichtig“ eingestuft werden. Insgesamt werden 34 Sicherheitslücken geschlossen. Die kritischen Bulletins beheben Schwachstellen in Microsoft Windows und Internet Explorer, die acht als „wichtig“ bewerteten Updates betreffen Microsoft Windows, Office, Server und Tools sowie .NET.

Außerdem wird aller Wahrscheinlichkeit nach ein Update die Lücke endgültig schließen, für die heute ein Fix it veröffentlicht wurde. Das Update sollte auf jeden Fall installiert werden, auch wenn das Fix it zuvor angewandt wurde.

Alle Details zu den Updates gibt es am kommenden Dienstag, den 14. Mai. Am Mittwoch, den 15. Mai liefert ein Webcast um 20.00 Uhr MEZ weitere Antworten rund um die Bulletins. Der Webcast ist anschließend „on demand“ verfügbar.

Fix it sichert Internet Explorer 8 ab

Michael Kranawetter - CSA — Thu, 09 May 2013 07:34:00 GMT

Wie mit dem Veröffentlichen der Sicherheitsempfehlung 2847140 vor einigen Tagen bereits bekannt wurde, findet sich in Internet Explorer 8 eine Sicherheitslücke. Die Versionen 6, 7, 9 und 10 des Browsers sind nicht betroffen. Microsoft hat jetzt ein Fix it veröffentlicht, das die zuvor in der Sicherheitsempfehlung unter „Problembehebungen“ genannten Schritte zum Verstärken der Sicherheitseinstellungen des IE8 automatisch erledigt. Ein Fix it ist kein Ersatz für ein Sicherheitsupdate. Die US-Kollegen arbeiten derzeit noch an einem Update. Wenn es verfügbar wird, sollte es umgehend installiert werden, auch wenn das Fix it zuvor angewendet wurde.

Wir empfehlen allen Nutzern des Internet Explorer 8, die nicht auf die moderneren Versionen 9 oder 10 upgraden können, das Fix it umgehend herunter zu laden und auszuführen. Microsoft sind bereits Angriffe auf die Schwachstelle bekannt. Außerdem wurde inzwischen ein Metasploit-Modul veröffentlicht, so dass die Lücke damit prinzipiell von Jedermann missbraucht werden kann und sich das Gefahrenpotential erhöht.

Anwender, die Windows Vista oder eine neuere Version nutzen, sollten zu Internet Explorer 9 oder 10 wechseln. Beide sind nicht von der Lücke betroffen und sind zudem auch an zahlreichen anderen Stellen erheblich verbessert gegenüber Internet Explorer 8.

Sicherheitsempfehlung für Internet Explorer 8

Michael Kranawetter - CSA — Sat, 04 May 2013 08:13:33 GMT

Microsoft hat heute die Sicherheitsempfehlung 2847140 veröffentlicht, um auf eine Schwachstelle im Internet Explorer 8 hinzuweisen. Die Versionen 6, 7, 9 und 10 sind nicht betroffen. Würde die Schwachstelle missbraucht, wäre das Ausführen von beliebigem Code aus der Ferne (Remote Code Execution) möglich. Zum Missbrauch genügt es, das potentielle Opfer per Link auf eine bösartig manipulierte Webseite zu locken.

Nachdem Internet Explorer 9 und 10 nicht betroffen sind, empfehlen wir ein Upgrade auf diese Versionen, so es das Betriebssystem zulässt (Mindestvoraussetzung: Windows Vista).

Die US-Kollegen arbeiten derzeit bereits an einem Update für den IE8, das die Schwachstelle schließen wird. Bis das Update bereit steht, sollten Nutzer des Browsers folgende Sicherheitsmaßnahmen ergreifen:

Die Sicherheitseinstellungen für die Zonen „Internet“ und „Intranet“ sollten auf „hoch“ stehen; dann werden ActiveX-Controls und ActiveScripting in diesen Zonen blockiert.
Zwar wird hierdurch ein Angriff vermieden, gleichzeitig kann es aber zu Einschränkungen beim Surfen kommen. Von daher sollten vertrauenswürdige beziehungsweise notwendige Webseiten zur Zone der vertrauenswürdigen Seiten hinzugefügt werden.
Internet Explorer sollte so konfiguriert werden, dass er vor dem Ausführen von ActiveScripting eine Warnmeldung ausgibt. Dürfen die Skripte nicht laufen, kann es wiederum zu Einschränkungen beim Surfen kommen.

Microsoft veröffentlicht überarbeitetes Sicherheitsupdate

Michael Kranawetter - CSA — Wed, 24 Apr 2013 11:41:25 GMT

Ab sofort verteilt Windows Update eine neue Version von MS13-036. Betroffen sind Windows 7 und Windows Server 2008 (R2). Das ursprünglich mit den April-Bulletins bereit gestellte Update für den Kerneltreiber für das Dateisystem NTFS (ntfs.sys) verursachte in Einzelfällen Probleme, wenn bestimmte Software von Drittanbietern installiert war.

Die Verteilung des zuerst bereit gestellten Updates wurde gestoppt, nachdem es in einzelnen Regionen zu instabilen Systemen kam nach dem letzten Update-Tag.

Die neue Version behebt alle der ursprünglich adressierten Schwachstellen, verursacht aber keine Schwierigkeiten mehr nach der Installation.

Wer Windows Update nutzt, muss nichts weiter unternehmen. Das überarbeitete Update für automatisch installiert.

Sicherheitsupdates April 2013

Michael Kranawetter - CSA — Tue, 09 Apr 2013 17:35:00 GMT

Microsoft hat heute neun Sicherheitsupdates veröffentlicht, von denen zwei als "kritisch" und sieben als „hoch“ eingestuft werden. Insgesamt werden 14 Sicherheitslücken geschlossen. Die kritischen Bulletins beheben Schwachstellen in Microsoft Windows und Internet Explorer, die sieben als „wichtig“ bewerteten Updates betreffen Microsoft Windows, Office, Antimalware-Software und Server-Software.

Die beiden kritischen Bulletins MS13-028 (Internet Explorer) und MS13-029 (Windows, Remotedesktopverbindungs-Client) sollten natürlich mit größtmöglicher Priorität getestet und installiert werden. MS13-028 behebt Schwachstellen in allen derzeit unterstützten Versionen des Browsers, inklusive Internet Explorer 10 unter Windows 8 und Windows 7. Microsoft sind derzeit keine Angriffe auf die vertraulich gemeldeten Schwachstellen bekannt. Prinzipiell würde es genügen, einen Anwender auf eine bösartig präparierte Website zu locken, um die geschlossenen Schwachstellen zu missbrauchen.

Würden die durch die neun Bulletins geschlossenen Schwachstelle erfolgreich missbraucht, käme es je nach Lücke zum Ausführen von beliebigen Code aus der Ferne (Remote Code Execution), Rechteerhöhung (Elevation of Privilege), Denial of Service (DoS) oder dem Offenlegen von Informationen führen.

Am Mittwoch, den 10. April liefert ein Webcast um 20.00 Uhr MEZ weitere Antworten rund um die Bulletins. Der Webcast ist anschließend „on demand“ verfügbar.

Vorankündigung: Sicherheitsupdates April 2013

Michael Kranawetter - CSA — Fri, 05 Apr 2013 08:25:00 GMT

Microsoft wird am kommenden Dienstag neun Sicherheitsupdates veröffentlichen, von denen zwei als "kritisch" und fünf als „wichtig“ eingestuft werden. Insgesamt werden 14 Sicherheitslücken geschlossen. Die kritischen Bulletins beheben Schwachstellen in Microsoft Windows und Internet Explorer, die sieben als „wichtig“ bewerteten Updates betreffen Microsoft Windows, Office, Antimalware-Software und Server-Software.

Alle Details zu den Updates gibt es am kommenden Dienstag, den 09. April. Am Mittwoch, den 10. April liefert ein Webcast um 20.00 Uhr MEZ weitere Antworten rund um die Bulletins. Der Webcast ist anschließend „on demand“ verfügbar.

Sicherheitsupdates März 2013

Michael Kranawetter - CSA — Tue, 12 Mar 2013 11:09:00 GMT

Microsoft hat heute sieben Sicherheitsupdates veröffentlicht, von denen vier als "kritisch" und drei als „wichtig“ eingestuft werden. Insgesamt werden 20 Sicherheitslücken geschlossen. Die kritischen Bulletins beheben Schwachstellen in Microsoft Windows, Internet Explorer, Silverlight (inklusive der für Windows 8 verfügbaren Version), Microsoft Office und Microsoft Server Software. Die drei als „wichtig“ klassifizierten Bulletins schließen Lücken in Microsoft Windows, Office und Microsoft Server Software. Auch Windows 8 und Windows RT sind betroffen.

Aus Sicht von Microsoft sollten Kunden die Bulletins MS13-021, MS13-022 und MS13-027 mit höchster Priorität behandeln. Derzeit sind Microsoft zwar keine Angriffe auf die geschlossenen Sicherheitslücken bekannt. Dennoch sollten die Updates möglichst umgehend installiert werden. Im Fall der Schwachstellen, die in Internet Explorer geschlossen wurden, genügt beispielsweise der Aufruf einer bösartig modifizierten Webseite, um beliebigen Code aus der Ferne auf dem Rechner des Opfers auszuführen.

Die durch MS13-027 behobene Schwachstelle hat ebenfalls Aufmerksamkeit verdient: Durch Anschließen eines entsprechend präparierten USB-Speichersticks kann ein Angreifer Administratorenrechte auf einem nicht mit dem Sicherheitsbulletin versehenen PC erlangen. Dabei spielt es keine Rolle, ob zum Zeitpunkt des Ansteckens des Sticks ein Anwender angemeldet ist oder nicht.

Auch der erfolgreiche Missbrauch der übrigen geschlossenen könnte je nach Schwachstelle zum Ausführen von beliebigen Code aus der Ferne (Remote Code Execution), Rechteerhöhung (Elevation of Privilege) oder dem Offenlegen von Informationen führen.

Außerdem aktualisiert Microsoft noch die Sicherheitsempfehlung 2755801. Sie behebt Lücken in Adobe Flash, der Bestandteil des Internet Explorer 10 ist. Das Update bringt alle Fehlerbehebungen voran gegangener Updates mit, so dass Kunden ältere Versionen nicht zuvor installieren müssen. Das Update wird zusammen mit den übrigen Bulletins automatisch per Microsoft Update installiert.

Am Mittwoch, den 13. März liefert ein Webcast um 19.00 Uhr MEZ alle wichtigen Details zu den Bulletins. Der Webcast ist anschließen „on demand“ verfügbar.

Sicherheitsupdates Februar 2013

Michael Kranawetter - CSA — Tue, 12 Feb 2013 18:25:42 GMT

Microsoft hat heute zwölf Sicherheitsupdates veröffentlicht, von denen fünf als "kritisch" und sieben als „wichtig“ eingestuft werden. Insgesamt werden 57 Sicherheitslücken geschlossen. Die kritischen Bulletins beheben Schwachstellen in Microsoft Windows, Internet Explorer und Microsoft Exchange. Die sieben als „wichtig“ klassifizierten Bulletins schließen Lücken in Microsoft Windows, Office, .NET Framework und Microsoft Server Software. Auch Windows 8 und Windows RT sind betroffen.

Aus Sicht von Microsoft sollten Kunden die Bulletins MS13-009, MS13-010 und MS13-020 mit höchster Priorität behandeln. Die Bulletins MS13-009 und MS13-010 betreffen beide den Internet Explorer, wurden aber nicht zusammen gefasst, da MS13-010 Microsofts Implementierung der Vector Markup Language (VML) betrifft. Derzeit sind Microsoft keine Angriffe auf die geschlossenen Sicherheitslücken bekannt.

Würden die geschlossenen Lücken erfolgreich missbraucht, wäre je nach Schwachstelle das Ausführen von beliebigen Code aus der Ferne (Remote Code Execution), Rechteerhöhung (Elevation of Privilege) oder ein Denial of Service (DoS) möglich.

Am Mittwoch, den 13. Februar liefert ein Webcast um 20.00 Uhr MEZ alle wichtigen Details zu den Bulletins. Der Webcast ist anschließen „on demand“ verfügbar.

Vorankündigung: Sicherheitsupdates Februar 2013

Michael Kranawetter - CSA — Fri, 08 Feb 2013 07:49:00 GMT

Microsoft wird am kommenden Dienstag zwölf Sicherheitsupdates veröffentlichen, von denen fünf als "kritisch" und sieben als „wichtig“ eingestuft werden. Insgesamt werden 57 Sicherheitslücken geschlossen. Die kritischen Bulletins beheben Schwachstellen in Microsoft Windows, Internet Explorer und Microsoft Exchange. Die sieben als „wichtig“ klassifizierten Bulletins schließen Lücken in Microsoft Windows, Office, .NET Framework und Microsoft Server Software.

Alle Details zu den Updates gibt es am kommenden Dienstag, dem 12. Februar. Am Mittwoch, den 13. Februar liefert ein Webcast um 20.00 Uhr MEZ alle wichtigen Details zu den Bulletins. Der Webcast ist anschließen „on demand“ verfügbar.