Dipl.-Inform. Carsten Eilers

Die Schwachstelle mit der CVE-ID CVE-2015-2426 ist laut Microsoft vermutlich bereits öffentlich bekannt ("Microsoft had information to indicate that this vulnerability was public"), bisher sind aber keine Angriffe entdeckt worden.

Als Workaround wird vorgeschlagen, die Datei ATMFD.DLL umzubenennen. Kommt Ihnen das auch bekannt vor? Das ist der gleiche Workaround wie für die am regulären Patchday behobene 0-Day-Schwachstelle CVE-2015-2387 im Adobe Type Manager Font Driver. Der aktuelle Patch ersetzt auch den Patch aus der vorigen Woche. Die damalige 0-Day-Schwachstelle erlaubte "nur" eine Privilegien-Eskalation, gehört zum Fundus von Hacking Team und wurde bereits für Angriffe ausgenutzt.

Da scheint es nahe liegend, dass die aktuelle Schwachstelle ebenfalls aus dem Fundus von Hacking Team stammt und/oder sich aus dem veröffentlichten Exploit für CVE-2015-2387 herleiten lässt.

Microsoft bedankt sich für die Meldung der Schwachstelle bei Mateusz Jurczyk vom Google Project Zero und Genwei Jiang von FireEye. Weitere Informationen liegen zur Zeit noch nicht vor.

Update 21.7.:
Trend Micro hat berichtet, dass die Schwachstelle tatsächlich aus dem Fundus von Hacking Team stammt. In den dort ausgespähten und danach veröffentlichten Daten befindet sich ein Proof-of-Concept für die Schwachstelle, der den Taschenrechner öffnet. Auch Trend Micro sind bisher keine Angriffe über die Schwachstelle bekannt.
Damit haben wir also die erste 0-Day-Schwachstelle des Jahres, die gepatcht wurde, bevor es zu Angriffen kam. Aber die düften nicht lange auf sich warten lassen.
Ende des Updates

Na dann: Auf zum Patchen! Und das möglichst zügig, denn wenn Microsoft freiwillig eine 0-Day-Schwachstelle außer der Reihe patcht, für die es noch gar keine Angriffe gibt, dann muss die Gefahr schon sehr gross sein!

Carsten Eilers