Hoax-Info Service | Weblog | Archiv

23.03.2020PermaLink
Angriffe auf 0-Day-Lücken in Windows

Microsoft warnt in neuer Sicherheitsempfehlung

Microsoft hat heute die Sicherheitsempfehlung ADV200006 veröffentlicht. Darin warnt Microsoft vor zwei Sicherheitslücken in allen Windows-Versionen. Sie stecken in der Adobe Type Manager Programmbibliothek ATMFD.DLL und sind als kritisch eingestuft. Laut Microsoft gibt es bereits „begrenzte, gezielte Angriffe“, bei denen diese Schwachstellen ausgenutzt werden. Updates, um diese Lücken zu schließen, sind bislang noch nicht verfügbar. Behelfsweise (als „Workaround“) empfiehlt Microsoft, die Vorschau- und Detailansicht im Windows Explorer zu deaktivieren. Als weitere Vorsichtmaßnahmen empfiehlt Microsoft den WebClient-Dienst (für WebDAV) zu deaktivieren und/oder die Datei ATMFD.DLL umzubenennen. Diese befindet sich im Verzeichnis „%windir%/system32“ sowie bei 64-bit-Systemen zusätzlich im Verzeichnis „%windir%\syswow64“. Microsoft arbeitet nach eigenen Angaben an Sicherheits-Updates, geht jedoch zunächst davon aus, dass diese erst beim nächsten regulären Patch Day (14. April) bereitgestellt werden.

Update 24.03.: Microsoft hat seine Sicherheitsempfehlung ADV200006 aktualisiert, um klarzustellen, dass Systeme mit Windows 10 durch Angriffe kaum gefährdet seien. Microsoft empfiehlt ausdrücklich nicht, die beschriebenen Workarounds bei Systemen mit Windows 10 und den zugehörigen Server-Versionen anzuwenden. Installierte Fonts würden insbesondere ab Windows 10 1703 nicht mehr im Kernel-Modus ausgeführt. Die deutsche Version der Sicherheitsempfehlung ist noch nicht auf dem gleichen Stand wie die englische.

Microsoft Advisory ADV200006 | Microsoft Sicherheitsempfehlung ADV200006

20.03.2020PermaLink
Sicherheits-Updates für Chrome, Edge (Chromium) und Vivaldi

Hersteller ziehen wieder mit Chrome gleich

Google hat in dieser Woche seinen Browser Chrome nicht wie ursprünglich angekündigt in der neuen Hauptversion 81 veröffentlicht, sondern lediglich ein Sicherheits-Update für Chrome 80. Die dafür im Chrome Release Blog genannte Begründung („geänderte Arbeitsabläufe in dieser Zeit“) lässt den Schluss zu, dass die Entwickler bei Google wegen COVID-19 Home Office machen. Das Update auf Chrome 80.0.3987.149 beseitigt 13 Schwachstellen. Die neun durch externe Sicherheitsforscher entdeckten und gemeldeten Lücken stuft Google alle als hohes Risiko ein.

Microsoft hat seinen Browser Edge (Chromium-basiert) ebenfalls aktualisiert, um dieselben Schwachstellen zu beheben. Für Edge (Chromium-basiert) ist ein Update auf Version 80.0.3987.149 erhältlich, das über die integrierte Update-Funktion (nicht über Windows Update) verteilt wird. Die alte Edge-Generation (EdgeHTML-basiert) erhält Sicherheits-Updates hingegen weiterhin beim Patch Day über Windows Update. 
Vivaldi hat tags darauf nachgezogen und ist in der aktualisierten Version 2.11.1811.49 verfügbar. Die aktuelle Opera-Version 67.0.3575.97 ist hingegen noch auf dem Stand der Chromium-Version 80.0.3987.132, weist also bekannte Sicherheitslücken auf. 
Update 27.03.: Opera hat mit dem Update auf Version 67.0.3575.115 nachgezogen.

Chrome, Edge (Chromium-basiert), Opera und Vivaldi basieren auf dem quelloffenen Browser Chromium, dessen HTML-Renderer Blink eng mit WebKit in Apple Safari verwandt ist. Webkit stammt wiederum von KHTML des KDE-Projekts ab.

Chrome Release Blog | Microsoft Advisory ADV200002 | Vivaldi Blog
→Browser Downloads | →neueste Sicherheits-Updates

12.03.2020PermaLink
Microsoft schließt SMBv3-Lücke

Sicherheits-Update außer der Reihe für Windows 10 und Server

Microsoft hat heute außerhalb des normalen Patch-Turnus ein wichtiges Sicherheits-Update für Windows bereitgestellt. Es beseitigt die bereits beim Patch Day bekannt gewordene Schwachstelle CVE-2020-0796 im SMBv3-Protokoll. Microsoft stuft diese Sicherheitslücke als kritisch ein. Sie kann durch einen Angreifer ohne Benutzeranmeldung ausgenutzt werden, um Code einzuschleusen und auszuführen. Diese Lücke gilt als potenziell wurmtauglich – es könnte sich also Malware, die diese Schwachstelle ausnutzt, im Netzwerk von Rechner zu Rechner fortpflanzen. Microsoft hatte beim Update-Dienstag am 10. März eine Sicherheitsempfehlung (ADV200005) veröffentlicht, um zumindest einen Workaround zu liefern. Mit den heute bereitgestellen Sicherheits-Updates (KB4551762) für Windows 10 (1903, 1909) und Windows Server (1903, 1909) wird die Sicherheitslücke geschlossen. Bislang sind laut Microsoft noch keine Angriffe bekannt, bei denen diese Schwachstelle ausgenutzt würde.

Microsoft Sicherheitsbericht zu CVE-2020-0796 / | Microsoft Sicherheitsempfehlung ADV200005 /
→Microsoft Download- und Info-Links | →neueste Sicherheits-Updates

10.03.2020PermaLink
Microsoft stopft 26 kritische Lücken

Patch Day März mit Sicherheits-Updates gegen 115 Schwachstellen

Beim monatlichen Update-Dienstag hat Microsoft heute Updates bereitgestellt, die insgesamt 115 Sicherheitslücken schließen sollen. Darunter sind 26 Schwachstellen, die Microsoft als kritisch einstuft. Diese betreffen Windows, die Browser Internet Explorer (IE) und Edge, Office sowie Dynamics Business Central. Im IE hat Microsoft sechs Lücken beseitigt, alle gelten als kritisch. In der alten Edge-Generation sind es 14 gestopfte Lücken, von denen alle bis auf eine als kritisch gelten. Für den neuen Edge (Chromium-basiert) gibt es heute kein Update – diesen Browser versorgt Microsoft in aller Regel recht schnell über dessen integrierte Update-Funktion, sobald Google ein Sicherheits-Update für Chrome bereitgestellt hat. In seiner Office-Familie, einschließlich Office für Mac, hat Microsoft neun Schwachstellen behoben. Eine Word-Lücke (CVE-2020-0852) ist als kritisch eingestuft und vier weitere Lücken sind ebenfalls geeignet, um Code einzuschleusen und auszuführen. Auf Windows entfallen 78 Schwachstellen, darunter sind sieben, die Microsoft als kritisch ansieht. Dazu gehört auch eine weitere LNK-Lücke (CVE-2020-0872). Angriffe oder Exploit-Code sind bislang für keine der 115 Schwachstellen bekannt.

Microsoft Security Update Guide / | ZDI Blog
→Microsoft Download- und Info-Links | →neueste Sicherheits-Updates