Skip to content

April-Patchday ohne Security Bulletins, dafür mit 61 KB-Artikeln! Oder sogar 210!

Microsoft hat die Updates für den April-Patchday veröffentlicht. Nur leider keine Security Bulletins, die gibt es nicht mehr. Stattdessen werden die Updates in KB-Artikeln beschrieben, die im Security Update Guide aufgeführt sind.

Ich sehe da "nur" 61 Einträge, laut SANS Internet Storm Center sind es sogar 210 kritische Einträge für den 11. April. Glauben die bei Microsoft wirklich, da wühlt sich jemand durch? Also ich nicht. Entweder, ich bekomme die Sicherheitsrelevanten Informationen gebündelt, oder ich verzichte Dankend.

Welchen Vorteil soll diese Info-Flut denn bitte schön haben? Ich sehe da irgendwie keine. Jedenfalls nicht für mich, der Informationen über alle behobenen Schwachstellen braucht. Wer nur Infos zu bestimmten Systemen oder Programmen benötigt ist mit dem KB-Artikel vielleicht gut bedient. Wer aber Infos über alle Schwachstellen benötigt darf jetzt puzzeln.

Könnte vielleicht mal irgend jemand Microsoft erklären, dass Security by Obscurity nicht funktioniert? Und was anderes ist das hier ja wohl nicht.

0-Days gibt es bestimmt einige

Auf der Suche nach dem Patch für die aktuell massenhaft ausgenutzte 0-Day-Schwachstelle in Office habe ich einen weiteren 0-Day-Exploit entdeckt: Im KB-Artikel 3178702 ("Description of the security update for Office 2016: April 11, 2017") wird eine aktuell für Angriffe ausgenutzte Schwachstelle im Encapsulated PostScript (EPS) Filter von Office beschrieben. Die "Lösung" für die zur Zeit für Angriffe ausgenutzte Schwachstelle besteht darin, den Filter per Default auszuschalten. Arrrgghhh! :-(

Wie schwierig ist es wohl, einen Benutzer per Social Engineering zum Einschalten des Filters zu bringen? Auf eine Skala von 1-10 (mit 10 für "ist unmöglich") dürfte das irgendwo bei -5 liegen, oder?

Und dann wird diese brisante Information auch noch in einem (oder mehreren?) von zig kritischen KB-Artikeln verborgen. Echt toll, Microsoft, wirklich. Ich bin BEGEISTERT! Ja, wirklich - so viele schöne Vorlagen, um über Microsoft zu lästern, gab es doch wirklich schon lange nicht mehr.

Ach so: Das gesuchte Update habe ich wohl nicht gefunden. In verschiedenen Office-Versionen wird die Schwachstelle CVE-2017-0199 behoben, siehe z.B. die KB-Artikel 3141529, 3178710, 3141538 und 3178703. Aber da steht nirgends was davon, dass die zur Zeit für Angriffe ausgenutzt wird. Und das würde Microsoft doch nicht verheimlichen. Oder? Und der CVE-Eintrag ist zur Zeit noch leer, so dass man darüber auch nicht prüfen kann, ob es evtl. die 0-Day-Schwachstelle ist.

Update 12.4.:
CVE-2017-0199 ist in der Tat die durch den 0-Day-Exploit ausgenutzte Schwachstelle, damit gibt es seit gestern auch einen Patch dafür.

Und es gibt noch eine weitere bereits für Angriffe ausgenutzte Schwachstelle: CVE-2017-0210 ist eine Privilegieneskalation im Internet Explorer, der Cross-Domain-Policies nicht korrekt erzwingt. Wie üblich gilt: Mehr wird nicht verraten.

Und selbst das wenige erfährt man nur, wenn man ewig langen "Terms of Service", dem "Microsoft Developer Services Agreement", zustimmt. In denen sowas wie "User Plan. Each user of the Visual Studio Online portion of the Developer Services must be allocated an individual User Plan, whether they access the service directly or indirectly." steht. Leute, euer Visual Studio Online ist mir in diesem Zusammenhang aber sowas von egal, dass glaubt ihr gar nicht. Was hat das denn mit dem Lesen von Sicherheitsinformationen zu tun? Da wurde ja wohl der falsche Text verlinkt, oder?

Irgendwie habe ich den Eindruck, der "Microsoft Security Update Guide" muss noch ein paar Runden in der Qualitätssicherung drehen, nicht nur dass die ToS nicht passen, da funktioniert auch manches nicht so richtig. Oder ist dermaßen für IE und Edge optimiert, dass man es mit anderen Browsern nicht nutzen kann. Liefert Microsoft jetzt sogar Websites als Bananaware aus?
Ende des Updates

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : 0-Day-Exploit für MS Office im Umlauf

Vorschau anzeigen
McAfee warnt seit dem 7. April vor einem 0-Day-Exploit für eine Schwachstelle in MS Office, die zur Zeit über präparierte Word-Dokumente ausgenutzt wird. Dabei handelt es sich um RTF-Dokumente mit der (dafür eigentlich un&uuml