April-Patchday ohne Security Bulletins, dafür mit 61 KB-Artikeln! Oder sogar 210!
Microsoft hat die Updates für den April-Patchday veröffentlicht. Nur leider keine Security Bulletins, die gibt es nicht mehr. Stattdessen werden die Updates in KB-Artikeln beschrieben, die im Security Update Guide aufgeführt sind.
Ich sehe da "nur" 61 Einträge, laut SANS Internet Storm Center sind es sogar 210 kritische Einträge für den 11. April. Glauben die bei Microsoft wirklich, da wühlt sich jemand durch? Also ich nicht. Entweder, ich bekomme die Sicherheitsrelevanten Informationen gebündelt, oder ich verzichte Dankend.
Welchen Vorteil soll diese Info-Flut denn bitte schön haben? Ich sehe da irgendwie keine. Jedenfalls nicht für mich, der Informationen über alle behobenen Schwachstellen braucht. Wer nur Infos zu bestimmten Systemen oder Programmen benötigt ist mit dem KB-Artikel vielleicht gut bedient. Wer aber Infos über alle Schwachstellen benötigt darf jetzt puzzeln.
Könnte vielleicht mal irgend jemand Microsoft erklären, dass Security by Obscurity nicht funktioniert? Und was anderes ist das hier ja wohl nicht.
0-Days gibt es bestimmt einige
Auf der Suche nach dem Patch für die aktuell massenhaft ausgenutzte 0-Day-Schwachstelle in Office habe ich einen weiteren 0-Day-Exploit entdeckt: Im KB-Artikel 3178702 ("Description of the security update for Office 2016: April 11, 2017") wird eine aktuell für Angriffe ausgenutzte Schwachstelle im Encapsulated PostScript (EPS) Filter von Office beschrieben. Die "Lösung" für die zur Zeit für Angriffe ausgenutzte Schwachstelle besteht darin, den Filter per Default auszuschalten. Arrrgghhh!
Wie schwierig ist es wohl, einen Benutzer per Social Engineering zum Einschalten des Filters zu bringen? Auf eine Skala von 1-10 (mit 10 für "ist unmöglich") dürfte das irgendwo bei -5 liegen, oder?
Und dann wird diese brisante Information auch noch in einem (oder mehreren?) von zig kritischen KB-Artikeln verborgen. Echt toll, Microsoft, wirklich. Ich bin BEGEISTERT! Ja, wirklich - so viele schöne Vorlagen, um über Microsoft zu lästern, gab es doch wirklich schon lange nicht mehr.
Ach so: Das gesuchte Update habe ich wohl nicht gefunden. In verschiedenen Office-Versionen wird die Schwachstelle CVE-2017-0199 behoben, siehe z.B. die KB-Artikel 3141529, 3178710, 3141538 und 3178703. Aber da steht nirgends was davon, dass die zur Zeit für Angriffe ausgenutzt wird. Und das würde Microsoft doch nicht verheimlichen. Oder? Und der CVE-Eintrag ist zur Zeit noch leer, so dass man darüber auch nicht prüfen kann, ob es evtl. die 0-Day-Schwachstelle ist.
Update 12.4.:
CVE-2017-0199
ist in der Tat die durch den 0-Day-Exploit ausgenutzte Schwachstelle, damit
gibt es seit gestern auch einen Patch
dafür.
Und es gibt noch eine weitere bereits für Angriffe ausgenutzte
Schwachstelle: CVE-2017-0210
ist eine Privilegieneskalation im
Internet Explorer, der Cross-Domain-Policies nicht korrekt erzwingt.
Wie üblich gilt: Mehr wird nicht verraten.
Und selbst das wenige erfährt man nur, wenn man ewig langen
"Terms of Service",
dem "Microsoft Developer Services Agreement", zustimmt. In denen
sowas wie "User Plan. Each user of the Visual Studio Online
portion of the Developer Services must be allocated an individual User
Plan, whether they access the service directly or indirectly."
steht. Leute, euer Visual Studio Online ist mir in diesem Zusammenhang
aber sowas von egal, dass glaubt ihr gar nicht. Was hat das denn mit dem
Lesen von Sicherheitsinformationen zu tun? Da
wurde ja wohl der falsche Text verlinkt, oder?
Irgendwie habe ich den Eindruck, der "Microsoft Security Update Guide" muss
noch ein paar Runden in der Qualitätssicherung drehen, nicht nur dass
die ToS nicht passen, da funktioniert auch manches nicht so richtig. Oder
ist dermaßen für IE und Edge optimiert, dass man es mit anderen
Browsern nicht nutzen kann. Liefert Microsoft jetzt sogar Websites als
Bananaware aus?
Ende des Updates
Trackbacks
Dipl.-Inform. Carsten Eilers am : 0-Day-Exploit für MS Office im Umlauf
Vorschau anzeigen