Microsoft schließt 12 Sicherheitslücken

Seit Oktober 2003 hält Microsoft an jedem zweiten Dienstag eines Monats seinen regulären "Patch Day" ab. Am Donnerstag davor veröffentlicht Microsoft eine Kurzbeschreibung der zu erwartenden Sicherheitsupdates, ohne allerdings Details zu nennen.

Diesmal gibt Microsoft sieben Ankündigungen (Security Bulletin) heraus, in denen insgesamt zwölf Sicherheitslücken beschrieben werden. Davon werden zwei als „kritisch“ eingestuft, weil sie Angreifern erlauben, Code ohne Zutun des Benutzers einzuschleusen. Die mit „hoch“ bewerteten Lücken erfordern eine Reaktion des Nutzers. Er muss beispielsweise einen Warnhinweis bestätigen.

Sechs der Ankündigungen betreffen nur Windows oder die .Net-Laufzeitumgebung, eine betrifft Windows sowie Microsoft Office 2003 und 2007.

Laut Microsoft Security Advisory (2798897) stopft das Unternehmen eine Sicherheitslücke in Windows, die sich über gefälschte digitale Zertifikate für Spoofing-Attacken missbrauchen lässt. Dieses Problem betrifft Windows XP bis Windows 8. Nach der Beschreibung wird ein gefälschtes digitales Zertifikat von Turktrust Inc. aktiv für Angriffe auf Google-Nutzer eingesetzt. Das Turktrust-Zertifikat wurde nach einer fehlerhaften Konfiguration vom Anbieter bereits im August 2011 ausgestellt. Damit ist es unberechtigten Personen möglich, weitere vertrauenswürdige Zertifikate zu erstellen. Wer im Besitz eines solchen Zertifikats ist, kann darüber Phishing- oder Man-in-the-Middle-Angriffe durchführen.

Ein Sicherheitsupdate für die erst jüngst entdeckte Sicherheitslücke im Internet Explorer wird es kommenden Dienstag anscheinend noch nicht geben. Bis dahin stellt Microsoft für die bereits aktiv ausgenutzte kritische Sicherheitslücke ein Fix-It-Tool bereit. Dessen Nutzen ist jedoch zweifelhaft. Mehr dazu lesen Sie auf com-magazin.de im Artikel Fix-It-Tool für Internet Explorer ohne Wirkung.