Microsoft kümmert sich um IE Zero Tag mit Patch Tuesday Update

Es ist wieder Patch-Dienstag, und Microsoft hat viel zu tun, um IT-Administratoren und Benutzer in diesem Monat beschäftigt zu halten. Microsoft hat zehn neue Sicherheitsbulletins für Mai veröffentlicht, aber die beiden, die die meiste Aufmerksamkeit und die höchste Priorität erhalten sollten, sind beide mit dem Internet Explorer-Webbrowser verbunden.

Microsoft hat diesen Monat insgesamt 33 Sicherheitsanfälligkeiten gepatcht. Es gibt acht Patches, die als wichtig eingestuft werden und sich auf eine Reihe von Technologien und Produkten wie Microsoft Word, Publisher, Visio und Lync sowie das.NET-Framework und den Windows-Kernel auswirken. Die beiden verbleibenden Patches werden beide als Kritisch eingestuft und beide beheben Sicherheitslücken in Internet Explorer.

Marc Maiffret, CTO von BeyondTrust, erklärt, dass MS13-037 alle unterstützten Versionen von Internet Explorer betrifft und daher auch alle unterstützten Windows-Versionen betrifft. Er weist darauf hin, dass drei der angesprochenen Schwachstellen in allen Versionen von Internet Explorer vorhanden sind und Angreifer sich wahrscheinlich darauf konzentrieren werden, mit möglichst geringem Aufwand auf einen möglichst großen Pool anfälliger Systeme abzuzielen.

MS13-037 ist das erwartete oder geplantes Update für Internet Explorer. MS13-038 hingegen ist eine übereilte Last-Minute-Ergänzung des Patch Tuesday-Inventars. Vor weniger als zwei Wochen wurde in IE8 ein Zero-Day-Fehler entdeckt.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Andrew Storms, Leiter der Sicherheitsabteilung von nCircle (einer Tripwire-Firma), sagt, "Wie erwartet, hat Microsoft heute ein wichtiges Update für Internet Explorer 8 veröffentlicht, das einen herausragenden Zero-Day-Bug beschreibt, der Berichten zufolge bei einem gezielten Angriff auf Wasserlöcher gegen das US-Arbeitsministerium eingesetzt wurde. Spekulationen Anfang der Woche deuten darauf hin, dass der gleiche Angriff auch auf Mitarbeiter von USAID und dem Energieministerium abzielte. "

Storms lobt Microsoft für den schnellen Turnaround. Er weist darauf hin, dass die Umstellung von Advisory auf Patch innerhalb von nur elf Tagen ein Beispiel für Microsofts Reaktionsfähigkeit auf seine Benutzer und die Sicherheitsgemeinschaft ist.

Ross Barrett, Senior Manager für Sicherheitstechnik bei Rapid7, stimmt dem weitgehend zu. Er kommentierte, dass die schnelle Wende Microsoft von seiner besten Seite ist. Er stellt jedoch auch fest, dass das vorhersehbare Sperrfeuer von monatlichen kritischen Updates für den Microsoft-Browser auf ein fehlerhaftes Patch- und Supportmodell hinweist. Er schlägt vor, dass Microsoft ein System wie die konkurrierenden Browser Chrome und Firefox annimmt, die im Hintergrund leise plappern, sobald die Updates verfügbar sind.

In einem Blogbeitrag erinnert uns CTO von Qualys, Wolfgang Kandek, daran, dass Microsoft nicht das einzige Spiel in der Stadt ist. Adobe hat heute auch einige wichtige Updates veröffentlicht. Es gibt Updates für ColdFusion, Reader und Flash.