Dipl.-Inform. Carsten Eilers

Die Cyberkriminellen hätten also durchaus Exploits dafür entwickeln und auf die ungeschützten IE- und Edge-Nutzer los lassen können. Da Microsoft schon angekündigt hatte, die Februar-Patches erst am März-Patchday zu veröffentlichen, hätte sich das sicher gelohnt. Und früher gab es ja auch lange Jahre den "Exploit-Wednesday" oder "-Thursday", an dem erste Exploits für die gerade erst am Patchday behobenen Schwachstellen erschienen, um bisher nicht gepatchte Systeme zu infizieren, bevor die Patches installiert wurden.

Für die Schwachstellen im in IE und Edge integrierten Flash Player hat Microsoft diese Gefahr nun gebannt: Außer der Reihe und ohne vorherige Ankündigung wurden heute Nacht die Updates für den Flash Player veröffentlicht. Das zugehörige Security Bulletin ist MS17-005, es verrät uns nichts, was wir nicht vorher schon wussten. Wie üblich reicht Microsoft die Adobe-Patches einfach nur durch. Dies mal mit einer Woche Verzögerung.

Ich schätze mal, da hat Microsoft verdammt viel Glück gehabt, das kein Cyberkrimineller die günstige Gelegenheit für Angriffe genutzt hat. Aber vielleicht denkt man ja jetzt noch mal darüber nach, wie sinnvoll es ist, alle Patches in einem großen Paket auszuliefern. Diese "Friss oder stirb"-Methode mag ja den Vorteil haben, dass alle Rechner alle Updates installiert haben. Aber schon beim kleinsten Problem führt es auch dazu, dass gar keine Updates installiert werden (können, in diesem Fall). Und das ist ja wohl noch schlimmer.

Ach so: In meiner Übersicht über die 0-Day-Exploits und -Schwachstellen des Jahres 2017 habe ich diese Schwachstellen nur als eine eingetragen. Es ist ja zum Glück nichts passiert, und ich wollte die Statistik des Flash Players nicht versauen. Vor allem, weil diesmal ja Microsoft und nicht Adobe Schuld an der Misere war. Und immerhin haben wir schon bald Ende Februar, und es gab dieses Jahr noch keinen 0-Day-Exploit für den Flash Player!

Carsten Eilers