Morgen ist Microsoft Patch Tuesday. Die nackten Fakten des neuen Pakets: Acht Bulletins, drei davon “critical”, Reboot notwendig. Die eigentlich interessante Frage ist dieses Mal allerdings, ob die kürzlich bekannt gewordene Windows-Zero-Day-Lücke gefixt wird. Das weiß wohl auch Microsoft, da das Thema explizit in der Ankündigung angesprochen wird. Allerdings ist die Antwort eher unbefriedigend, da sie „Nein“ lautet.
Wenigstens lässt der ungewöhnliche redselige Blogbeitrag zum Patch einige nützliche Rückschlüsse zu. So erhalten wir ein wenig mehr Klarheit bezüglich der durch die Zero-Day-Lücke, die sich mit Hilfe von TIFF-Bilddateien versteckt, betroffenen Systeme:
- Wenn Sie Vista oder Server 2008 nutzen, sind Sie anfällig für den TIFF-Zero-Day, egal welche zusätzliche Software Sie installiert haben.
- Wenn Sie Office 2003 oder 2007 nutzen, Sind sie angreifbar, unabhängig vom Betriebssystem.
- Wenn Sie eine beliebige Lync-Version nutzen, sind Sie auf jedem Betriebssystem über die Lücke angreifbar.
- Wenn Sie Office 2010 nutzen, sind Sie nur angreifbar, wenn Sie XP oder Server 2003 nutzen
Natürlich lässt sich der Zero Day auch mit Microsofts Fix it entschärfen. Das geht übrigens auch manuell durch folgenden Registry-Eintrag (Dadurch können Sie allerdings gar keine TIFFs mehr öffnen, egal ob gewollt oder ungewollt):
HKEY_LOCAL_MACHINESOFTWARE
MicrosoftGdiplusDisableTIFFCodec = 1
Kommen wir nun aber zu den erfreulichen Nachrichten: Natürlich fixt der Patch auch einige Schwachstellen. Auch wenn wir erst Morgen wissen, was genau behoben wird, sind folgende Punkte sehr wahrscheinlich:
- Behebung eines “Critical Fix” für alle Versionen des Internet Explorers, auf allen Plattformen, allen CPUs und allen Bit-Versionen. De facto sind alle IE 6 bis 11 auf XP bis 8.1, 32 oderr 64 bit, Intel und ARM betroffen. Wenn Sie also Windows Clients im Unternehmen haben – updaten!
- Neustart der Systeme ist erforderlich, also den Reboot nicht vergessen.
- Wichtige Fixes für alle Versionen von Office 2003 bis 2013 und für Outlook 2007 bis 2013