Microsoft Patch Day
13.02.2020, 06:27 Uhr
Microsoft stopft fünf Zero-Day-Lücken
Microsoft rollt seine Februar-Patches aus. Damit werden insgesamt 99 Schwachstellen in Windows, Office, Internet Explorer, Edge sowie im Exchange Server behoben. Zwölf der Lecks sind als «kritisch» eingestuft.
Microsoft hat seine monatlichen Sicherheitsupdates für Februar veröffentlicht. Beseitigt wurden insgesamt 99 Security-Lecks. Ein Dutzend davon stufen die Redmonder als kritisch ein, die weiteren 87 labelt das Unternehmen mit «hoch».
Betroffen sind vor allem die beiden Browser Internet Explorer (IE) und Edge (die alte Edge-Version ohne Chromium-Basis). Eine der insgesamt drei Lecks im IE (Version 9 bis 11) wird bereits seit Mitte Januar aktiv ausgenutzt. Angreifer können mit der Lücke den Speicher eines Gerätes so manipulieren, dass sich beliebiger Code im Kontext des aktiven Nutzers ausführen lässt. Zwei der IE-Lecks labelt Microsoft mit «kritisch».
Besonders unangenehm ist diese Schwachstelle deshalb, weil der IE noch bei vielen Nutzern von Windows 7 in Gebrauch ist. Der Patch steht jedoch nur für all jene Nutzer des OS-Oldies bereit, die sich am kostenpflichtigen Extended-Security-Update-Programm angemeldet haben. Dieses steht jedoch ausschliesslich Business-Kunden bereit. Privatanwender, die noch nicht auf Windows 10 umgestiegen sind, müssen sich mit einem umständlichen Workaround begnügen.
Fünf kritische Lücken im alten Edge
Fünf weitere, als «kritisch» eingestufte Sicherheitslücken befinden sich in Edge (ohne Chromium-Unterbau). Eine der Lücken führt zu denselben Problemen, wie oben beschrieben beim Internet Explorer.
Behoben wurden ferner Lücken in Office, im Exchange Server und in Windows. In Letzterem befinden sich die fünf übrigen «kritischen» Lecks.
Windows-10-Nutzer erhalten das Update in der Regel automatisch. Alternativ steht die Aktualisierung jedoch auch auf der Webseite von Microsoft bereit. Die Redmonder sind stets darum bemüht, den Anwendern möglichst viele Informationen zu den Patches zu liefern. Leider führt dies aber meist zu einer relativ unübersichtlichen Auflistung aller möglichen Releases. Wer sich damit nicht genau auskennt beziehungsweise nicht intensiver damit beschäftigen möchte, sollte einfach warten, bis die Aktualisierungen automatisch aufgespielt werden.