Werbung
Microsoft hat am gestrigen Patch Tuesday mehrere kritische Sicherheitsupdates veröffentlicht, die unter anderem einen schwerwiegenden Fehler in der Signaturprüfung von Windows ausmerzen. Besagte Schwachstelle ließ sich sowohl bei den Codesignaturen als auch bei TLS-Zertifikaten ausnutzen. Im Speziellen geht es hierbei um die Verarbeitung von Signaturen mit elliptischen Kurven. Die genannte Schwachstelle wurde von der National Security Agency, kurz NSA, gefunden und Microsoft gemeldet. Ob die Sicherheitslücke im Vorfeld effektiv von der NSA ausgenutzt wurde ist aktuell nicht bekannt.
Ein weiteres Problem, das durch den Patch Tuesday gelöst wird, ist ein Fehler im Remote Desktop Gateway. Hier war es möglich über das Netzwerk Code auszuführen. Das gängige Remote-Desktop-Protokoll war jedoch nicht von der Lücke betroffen.
Aus diesem Grund sollten die verfügbaren Windows-Updates unverzüglich eingespielt werden. Bei TLS-Zertifikaten ist ansonsten ein Man-in-the-Middle-Angriff möglich, bei dem der Angreifer in der Lage ist, den gesamten Traffic mitzulesen bzw. zu manipulieren. Ein weiteres Anzeichen für die Brisanz der Lücke dürfte der Fakt sein, dass die Schwachstelle von der NSA gemeldet wurde.
Laut dem internationalen Hard- und Softwarehersteller sind insgesamt acht Sicherheitslücken als kritisch eingestuft worden. Neben den genannten Fehlern finden sich unter anderem Schwachstellen im NET Framework, im APS.NET sowie beim Internet Explorer. Als wichtig bezeichnete Updates finden sich unter anderem bei Hyper-V, Index, Office, Search sowie Win32k wieder. Eine komplette Übersicht aller Aktualisierungen, die am gestrigen Dienstag von Microsoft veröffentlicht wurden, findet sich hier.