Microsoft hat die Updates für den April-Patchday
veröffentlicht.
Nur leider keine Security Bulletins, die gibt es nicht mehr. Stattdessen
werden die Updates in KB-Artikeln beschrieben, die im Security Update Guide
aufgeführt sind.
McAfee
warnt
seit dem 7. April vor einem 0-Day-Exploit für eine Schwachstelle in
MS Office, die zur Zeit über präparierte Word-Dokumente
ausgenutzt wird. Dabei handelt es sich um RTF-Dokumente mit der
(dafür eigentlich unüblichen) Dateiendung .doc.
Der Exploit lädt von einem Server der Angreifer eine HTML-Anwendung
herunter, die als .hta-Datei ausgeführt wird, was dem
Angreifer die Ausführung beliebigen Schadcodes erlaubt. Der Inhalt der
.hta-Datei tarnt sich als normale RTF-Datei, enthält aber
Visual-Basic-Code. Damit das Opfer den Angriff nicht bemerkt wird zur
Tarnung eine harmlose Datei angezeigt.
Am
März-Patchday
hat Microsoft die
ausgefallenen
Februar-Patches nachgeholt und damit nicht nur mal wieder besonders viele
Security Bulletins (18 Stück!) auf einmal veröffentlicht, sondern
auch etliche 0-Day-Schwachstellen mit und ohne Exploit bekannt gemacht: 14
Schwachstellen waren bereits vor der Veröffentlichung der Patches
öffentlich bekannt, weitere 3 werden bereits für Angriffe ausgenutzt.
Internet Explorer: Fünf 0-Day-Schwachstellen plus ein 0-Day-Exploit
Nach der
Absage
des Februar-Patchdays hatte Microsoft ein Problem: Die von Adobe am
gleichen Tag im Flash Player behobenen
kritischen Schwachstellen
blieben dadurch im in IE und Edge integrierten Flash Player offen. Im
Grunde gab es nun also
0-Day-Schwachstellen,
und davon reichlich: Die Schwachstellen waren durch die
Veröffentlichung von Adobes Updates bekannt, es gab aber keinen
Patch.
Das es mal einen Patchday ohne die Preisgabe von 0-Day-Exploits bzw.
laufenden Angriffen gibt, kam ja schon vor. Aber am Februar-Patchday hat
nicht nur Adobe nur Bulletins zu bisher unbekannten Schwachstellen
veröffentlicht (zu
Flash Player,
Adobe Digital Editions und
Adobe Campaign),
nein: Microsoft hat gleich gar keine Updates veröffentlicht!
Das Jahr fängt sehr ruhig an: Microsoft hat nur
4 Security Bulletins
veröffentlicht, von denen eins auch noch für den in IE und Edge
integrierten Flash Player ist. Und die drei übrigen Bulletins
enthalten nur jeweils eine CVE-ID. Dahinter verbergen sich in zwei
Fällen zwar zuvor schon bekannte Schwachstellen, aber die sind weder
kritisch, noch werden sie bereits ausgenutzt.
Adobe hat in seinen
zwei Bulletins
(für
Acrobat und Reader
sowie den
Flash Player)
zwar wieder jede Menge meist kritischer Schwachstellen gemeldet, aber
keine davon ist zuvor bekannt gewesen oder ausgenutzt worden.
Es gibt mal wieder einen 0-Day-Exploit. Und wie schon fünf von elf mal
in diesem Jahr
ist mal wieder der Flash Player Ziel der Angriffe. Damit geht mal wieder
die Hälfte aller 0-Day-Exploits aufs Konto des Flash Players (6/12).
Auch
2015
waren es 9 der 18 veröffentlichten 0-Day-Exploits.
Für was braucht man das Ding doch gleich noch? Bei mir ist der schon
ewig nicht mehr installiert, und bisher habe ich ihn nie vermisst. Da
drängt sich der Verdacht auf, dessen einziger wirklicher "Nutzen"
besteht darin, darüber Schädlinge zu verbreiten.
Zur Zeit laufen Angriffe mit einem
0-Day-Exploit
auf die Windows-Version des TorBrowsers, die auch gegen den ihm zu Grunde
liegenden Firefox funktionieren. Die Firefox-Entwickler
kennen
die
Schwachstelle
mit der CVE-ID
CVE-2016-9079
seit dem
29. November,
und inzwischen wurden Updates für
Firefox
und
TorBrowser
veröffentlicht.
Sie sollten die Updates schnellstmöglich installieren, bevor die
Cyberkriminellen anfangen, den Exploit im großen Maßstab
für Drive-by-Infektionen einzusetzen.
Am
November-Patchday
hat Microsoft wieder mehrere 0-Day-Schwachstellen behoben. Darunter auch
eine, die bereits ausgenutzt wird, um Code einzuschleusen.
Damit steht es beim "Wettstreit" um die meisten 0-Day-Exploits zwischen
Adobe und dem Rest der Welt wieder unentschieden:
Dieses Jahr
wurden 10 0-Day-Exploits entdeckt, 5 davon gehen auf das Konto des Flash
Players. Adobe hat zwar auch ein Security Bulletin für den
Flash Player
veröffentlicht, aber keine 0-Days zu melden. Die aktuelle
0-Day-Schwachstelle wurde ja bereits
Ende Oktober
außer der Reihe behoben.