Dezember-Patchday schließt 24 Sicherheitslücken und blockiert SSL-Fallback

Microsofts Dezember-Patchday schließt 24 Sicherheitslücken. Als Reaktion auf POODLE wird zukünftig der SSL-Fallback in Internet Explorer blockiert.

Zum letzten regulären Patchday des Jahres hat Microsoft am gestrigen 9. Dezember insgesamt sieben Sicherheitsupdates veröffentlicht, von denen drei als kritisch und vier als wichtig eingestuft werden. Die Security-Patches schließen 24 Lücken in den Microsoft-Produkten Windows, Internet Explorer, Office und Exchange, durch die es zur Remote-Code-Ausführung, Rechteerweiterung oder Offenlegung von Informationen kommen kann.

Dezember-Patchday schließt Exchange-Sicherheitslücke MS-14075

Zum vergangenen November-Patchday hatte Microsoft ursprünglich 16 Sicherheitsupdates angekündigt, für die Bulletins MS-14068 und MS-14075 aber überraschenderweise doch keinen Patch ausgeliefert, so dass am Ende lediglich 14 Updates bereitgestellt wurden.

Das Sicherheitsupdate für Bulletin MS-14068 wurde inzwischen als kritisches Update außerhalb des monatlichen Patchday-Zyklus veröffentlicht und schließt eine Sicherheitslücke im Windows Kerberos Key Distribution Center, durch die ein reguläres Nutzerkonto unerlaubt zu einem Admin-Konto heraufgestuft werden kann. Der Dezember-Patchday schließt jetzt auch die in Bulletin MS-14075 beschriebene Sicherheitslücke.

Microsoft hat zudem die Security-Bulletins MS-14065 und MS-14066 aktualisiert und erneut veröffentlicht, hiervon sind ein kumulatives Sicherheitsupdate für Internet Explorer und eine Sicherheitsanfälligkeit in SChannel betroffen. Wer Internet Explorer 8 auf Windows 7 oder Windows Server 2008 oder aber Internet Explorer 10 nutzt, dem rät Microsoft zu einer erneuten Installation des aktualisierten Updates für Bulletin MS-14065. In ähnlicher Weise sollte der Patch für Bulletin MS-14066 erneut installiert werden, wenn Windows Vista oder Windows Server 2008 genutzt werden und das Update bereits vor dem 9. Dezember installiert wurde.

Reaktion auf POODLE: Internet Explorer blockiert Fallback auf SSL 3.0

Als Reaktion auf die bereits im Oktober bekannt gewordene SSL-Sicherheitslücke POODLE ermöglicht Microsoft in Internet Explorer 11 ab sofort das Deaktivieren des SSL 3.0 Fallbacks. Damit soll verhindert werden, dass während einer HTTPS-Sitzung durch einen Man-in-the-middle-Angriff ein Downgrade von TLS 1.0 oder neuer auf SSL 3.0 erzwungen wird.

Administratoren können dieses Verhalten in Internet Explorer über die Registry, ein Fix-it-Tool oder Gruppenrichtlinien steuern. Ab dem 10. Februar 2015 soll das SSL-Fallback dann automatisch für den Geschützten Modus blockiert werden. Gleichzeitig wurde auch in Microsoft Azure der Support für SSL 3.0 stark eingeschränkt.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close