Microsoft schliesst mit Januar-Patch 12 Sicherheitslücken

Am 8. Januar 2013 hält Microsoft den ersten Patch-Day des Jahres ab. Diesmal wird unter anderem eine bereits aktiv ausgenutzte Sicherheitslücke geschlossen, die über gefälschte Zertifikate Spoofing-Angriffe erlaubt. Seit Oktober 2003 hält Microsoft an jedem zweiten Dienstag eines Monats seinen regulären "Patch Day" ab. Am Donnerstag davor veröffentlicht Microsoft eine Kurzbeschreibung der zu erwartenden Sicherheitsupdates, ohne allerdings Details zu nennen.

Diesmal gibt Microsoft sieben Ankündigungen (Security Bulletin) heraus, in denen insgesamt zwölf Sicherheitslücken beschrieben werden. Davon werden zwei als ?kritisch? eingestuft, weil sie Angreifern erlauben, Code ohne Zutun des Benutzers einzuschleusen. Die mit ?hoch? bewerteten Lücken erfordern eine Reaktion des Nutzers. Er muss beispielsweise einen Warnhinweis bestätigen. Sechs der Ankündigungen betreffen nur Windows oder die .Net-Laufzeitumgebung, eine betrifft Windows sowie Microsoft Office 2003 und 2007.

Laut Microsoft Security Advisory (2798897) stopft das Unternehmen eine Sicherheitslücke in Windows, die sich über gefälschte digitale Zertifikate für Spoofing-Attacken missbrauchen lässt. Dieses Problem betrifft Windows XP bis Windows 8. Nach der Beschreibung wird ein gefälschtes digitales Zertifikat von Turktrust Inc. aktiv für Angriffe auf Google-Nutzer eingesetzt. Das Turktrust-Zertifikat wurde nach einer fehlerhaften Konfiguration vom Anbieter bereits im August 2011 ausgestellt. Damit ist es unberechtigten Personen möglich, weitere vertrauenswürdige Zertifikate zu erstellen. Wer im Besitz eines solchen Zertifikats ist, kann darüber Phishing- oder Man-in-the-Middle-Angriffe durchführen. (ph/com!)

Siehe auch: Microsoft kauft Home-Entertainment-Startup Id8 Group R2 Studios, Kostenloser Sicherheitscheck für Windows-PCs von Microsoft