Microsoft verschiebt Februar-Patchday auf unbestimmte Zeit

Der Februar-Patchday 2017 fällt aus beziehungsweise wird später nachgeholt. Das hat Microsoft in einer kurzen Stellungnahme erklärt. Darin weist es darauf hin, dass die Qualität der monatlichen Updates oberste Priorität habe. “Diesen Monat haben wir in letzter Minute ein Problem entdeckt, das einige Kunden betreffen könnte und das nicht rechtzeitig für die heute geplanten Updates behoben werden konnte. Nach Abwägung aller Optionen haben wir entschieden, die Updates zu verschieben.”

Die Begründung legt die Vermutung nahe, dass der Fehler nicht in einem Patch steckt. In dem Fall hätte Microsoft wohl nur das problematische Update zurückgehalten. Quellen der Microsoft-Bloggerin Mary Jo Foley zufolge ist der Grund für die Verzögerung Microsofts Build-System. Das Unternehmen wollte sich dazu jedoch nicht äußern. Wann Microsoft die Februar-Patches nachliefert, ist noch nicht bekannt.

Damit ist auch noch offen, wann ein Patch für die Anfang Februar bekannt gewordene Lücke in Windows SMB kommt. Beobachter hatten zum Februar-Patchday mit ihr gerechnet. Die Schwachstelle ermöglicht Denial-of-Service-Angriffe.

Laut US-Cert kann ein Hacker einen Absturz des Treibers mrxsmb20.sys auslösen, was wiederum einen Absturz des Betriebssystems und den Blue Screen of Death nach sich zieht. Angriffe über die Lücke führen zwar zu einem Absturz, haben aber keine weiteren Folgen. So lässt sich darüber etwa keine Malware aus der Ferne einschleusen und auf dem System ausführen. Das Risiko durch die Lücke stufte Microsoft daher als gering ein.

Adobe liefert an seinem Patchday, der sonst immer mit dem von Microsoft zusammenfällt, dagegen wieder zahlreiche Sicherheits-Updates aus. für Unter anderem werden damit als kritisch eingestufte Schwachstellen in Adobe Campaign und Adobe Digital Editions behoben. Besonders viele Lücken stecken wieder einmal im Flash Player. Version 24.0.0.194 und früher für Windows, MacOS, Linux und die in Chrome, Internet Explorer 11 und Edge integrierten Plug-ins weisen 13 kritische Schachstellen auf. Angreifer können Adobe zufolge darüber Schadcode aus der Ferne einschleusen und ausführen und so die Kontrolle über ein System übernehmen.

Um das zu verhindern, haben die Entwickler unter anderem vier Speicherfehler, vier Use-after-free-Bugs und drei Pufferüberläufe korrigiert. Entdeckt wurden die Sicherheitslücken von Mitarbeitern von Googles Project Zero, Microsoft, Palo Alto Networks, FortiGuard Labs und CloverSec Labs.

Adobe rät Nutzern des Flash Player, umgehend auf Version 24.0.0.221 umzusteigen. Sie steht für Windows, MacOS und Linux zur Verfügung. Google verteilt das Update für den Chrome-Browser. Nutzer von Internet Explorer 11 unter Windows 8.1 und 10 sowie des Microsoft-Browsers Edge müssen bei Flash-Inhalten dagegen besonders vorsichtig sein. Denn der Ausfall des Microsoft-Patchdays bedeutet auch, dass für diese Produkte Fixes erst später ausgeliefert werden.

Ein Fehler in Adobe Campaign 6.11 16.4 Build 8724 und früher für Windows und Linux ermöglicht es Unbefugten, Sicherheitsfunktionen zu umgehen. Ein authentifizierter Nutzer mit Zugang zur Client-Konsole könnte gefährliche Dateien hochladen und Lese- und Schreibzugriffe vornehmen. Das Risiko stuft Adobe als mittelschwer ein.

Adobes Patch für Version 4.5.4 für Windows, macOS und Android von Digital Editions schließt 9 Sichehreitslücken. Mindestens eine davon wird als kritisch eingestuft, da sie Remotecodeausführung ermöglicht. Acht der neun nun geschlossenen Schwachstellen wurden von Steven Seeley von Source Incite entdeckt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.