Hoax-Info Service | Weblog | Archiv

18.01.2020PermaLink
Neue 0-Day Lücke im Internet Explorer

Microsoft warnt, hat noch keine Lösung

Microsoft hat am Freitagabend einen Sicherheitsbericht veröffentlicht, in dem es vor einer kritischen Sicherheitslücke im Internet Explorer 9 bis 11 warnt. Ein Fehler im Scriptmodul (JScript.dll) kann ausgenutzt werden, um Code einzuschleusen und mit Benutzerrechten auszuführen. Betroffen sind alle Windows-Versionen, einschließlich Windows Server. Microsoft gibt weiter an, es seien „begrenzte, gezielte Angriffe“ bekannt, bei denen diese Schwachstelle bereits ausgenutzt werde. Ein Sicherheits-Update steht noch nicht zur Verfügung – man arbeite daran, heißt es bei Microsoft. Ob ein solches Update vor dem nächsten Update-Dienstag am 11. Februar bereitgestellt wird, ist ungewiss. Als Workaround (Interimslösung) empfiehlt Microsoft, die Zugriffsrechte auf die Datei JScript.dll einzuschränken.
Sinnvoller scheint es, wo immer möglich auf den Einsatz des Internet Explorers (IE) zu verzichten. Der IE ist hoffnungslos veraltet, wird schon lange nicht mehr weiterentwickelt und nur aus Kompatibilitätsgründen noch unterstützt. Als Web-Browser taugt er nicht mehr – hat er an sich noch nie so recht.

Microsoft Advisory ADV200001 /
→Web-Browser Downloads

16.01.2020PermaLink
Exploit-Code für Krypto-Lücke in Windows veröffentlicht

Sicherheits-Updates gegen „NSA-Lücke“ sind verfügbar

Für die Sicherheitslücke CVE-2020-0601 in Windows 10 und Windows Server haben mehrere Personen Demo-Exploits (PoC, Proof of Concept) veröffentlicht, unter anderem auf Github. Angriffe auf Windows-Systeme, auf denen das entsprechende Sicherheits-Update noch nicht installiert ist, werden damit wahrscheinlicher. Die durch den US-Geheimdienst NSA an Microsoft gemeldete Schwachstelle steckt in der Krypto-Bibliothek crypt32.dll. Die Lücke wird auch als „CurveBall“, „NSACrypt“ oder „ChainOfFools“ bezeichnet. Ein Angreifer, der diese Lücke ausnutzt, kann ein Fake-Zertifikat erstellen, mit dem er etwa ein schädliches Programm signieren könnte, das deshalb durch Windows-Sicherheitsmechnismen als legitim und vertrauenswürdig angesehen würde. Auch könnte er mit einem gefälschten TLS-Zertifikat verschlüsselten Web-Datenverkehr (HTTPS) mitschneiden und den Klartext entziffern. Bislang sind noch keine Angriffe bekannt. Die von Microsoft am 14. Januar bereitgestellten Updates gegen CVE-2020-0601 sollten umgehend eingespielt werden, soweit nicht bereits geschehen.

Microsoft Bericht zur Schwachstelle CVE-2020-0601
 ↓ Blog-Beitrag zum Patch Day

14.01.2020PermaLink
Microsoft stopft NSA-Lücke

Patch Day im Januar mit Updates gegen 49 Schwachstellen

Beim ersten Update-Dienstag des Jahres hat Microsoft Sicherheits-Updates bereitgestellt, die insgesamt 49 Schwachstellen beseitigen sollen. Darunter sind acht Lücken, die Microsoft als kritisch einstuft. Diese betreffen Windows, den Internet Explorer, das .NET Framework sowie ASP.NET. Als kritisch gelten etwa zwei Lücken (CVE-2020-0609/-0610) im RDP Gateway Server bei Windows Server 2012 bis 2019. In Kombination mit der RDP-Client-Lücke CVE-2020-0611 in allen Windows-Versionen ergibt sich eine Exploit-Kette, die sich für Attacken eignet, bei denen Angreifer die Kontrolle über das System erlangen könnten.
Besondere Aufmerksamtkeit hat bereits im Vorfeld eine Schwachstelle in der Krypto-Api (CVE-2020-0601) erregt, da sie vom US-Geheimdienst NSA an Microsoft gemeldet wurde. Sie betrifft Windows 10 sowie die zugehörigen Server-Versionen. Sie ermöglicht es einem Angreifer, ein gefälschtes Zertifikat zu erzeugen, mit dem ein Schadprogramm signiert und somit gegenüber Windows-Schutzmechanismen legitimiert werden könnte.
In seiner Office-Familie hat Microsoft sieben Schwachstellen beseitigt. Vier dieser Lücken (CVE-2020-0650 bis -0653) sind geeignet, um mit speziell präparierten Office-Dokumenten Code einzuschleusen und zur Ausführung zu bringen, drei davon betreffen Excel. In der Suchindexerstellung aller Windows-Versionen hat Microsoft 12 praktisch identische Lücken gestopft, durch deren Ausnutzung sich ein lokaler Benutzer höhere Berechtigungen verschaffen könnte. Berichte über Angriffe, die eine oder mehrere der heute geschlossenen Sicherheitslücken ausnutzen würden, liegen bislang nicht vor.

Heute ist zudem der letzte Update-Dienstag für Windows 7 – wie auch für Windows Server 2008 SP2 und 2008 R2 SP1. Ab Mittwoch will Microsoft den Browser Edge in einer komplett erneuerten Fassung ausliefern, die auf Googles quelloffenem Chromium-Browser basiert.

Microsoft Security Update Guide / | ZDI Blog
→Microsoft Download- und Info-Links | →neueste Sicherheits-Updates

08.01.2020PermaLink
0-Day-Lücke in Firefox geschlossen

Update auf Firefox 72.0.1 und Firefox ESR 68.4.1

Bereits einen Tag nach der Veröffentlichung der neuen Firefox-Hauptversion 72.0 hat Mozilla ein Update auf die Version 72.0.1 bereitgestellt. Es beseitigt eine als kritisch eingestufte Sicherheitslücke, die bereits für gezielte Angriffe im Web ausgenutzt wird. Die Schwachstelle mit der Kennung CVE-2019-17026 steckt im JIT-Compiler IonMonkey. Auch für Firefox ESR ist bereits ein entsprechendes Sicherheits-Update verfügbar: Version 68.4.1. Der darauf basierende Tor Browser wird in Kürze in der aktualisierten Version 9.0.4 erscheinen.

Mozilla Security Advisories
→Download-Links für Web-Software | →neueste Sicherheits-Updates