Am Patchday im Januar verffentlicht Microsoft diverse Patches, die insgesamt 56 Sicherheitslcken in unter anderem Edge, Internet Explorer, Office und Windows schlieen. Davon gelten 16 als "kritisch", 39 als "wichtig" und eine als "moderat".

Obacht Office-Nutzer
Derzeit sollen diverse Hacker-Gruppen eine Schwachstelle (CVE-2018-0797) in Office aktiv attackieren. Dabei sollen sie aus der Ferne ohne Authentifizierung Schadcode mit den Rechten des Opfers ausfhren knnen. So knnten Angreifer Systeme bernehmen. Unverstndlicherweise stuft Microsoft den Office-Patch nur als "wichtig" ein.

Ansatzpunkt ist ein fehlerhafter Umgang seitens Office mit RTF-Dateien. Angreifer mssten prparierte Dokumente dieser Art lediglich auf einer Webseite hinterlegen und ein Opfer zum Besuch der Seite bringen. Auch eine Verbreitung via E-Mail ist vorstellbar. Darber hinaus klaffen noch neun weitere Schwachstellen in Office, die ebenfalls zu Remote Code Execution oder Informationslecks (Memory Disclosure) fhren knnen.

Kritische Lcken finden sich der Scripting Engine. Davon sind die Webbrowser Edge und Internet Explorer bedroht. Hier knnten Angreifer das Ausfhren von Schadcode durch den alleinigen Besuch einer prparierten Webseite einleiten. Das kritische Flash-Update fr Edge und Internet Explorer 11 bekommen Nutzer von Windows 8.1 und 10 automatisch serviert.

Meltdown & Spectre
Weitere Sicherheitspatches gegen die CPU-Lcken Meltdown & Spectre hat Microsoft am Patchday nicht im Gepck. Diese hat Microsoft auer der Reihe Anfang Januar verffentlicht. Jngst uerte sich der Konzern dazu, wie die Patches funktionieren und bezog Stellung zu Leistungseinbuen.
Quelle & weitere Informationen : https://www.heise.de/security/meldun...e-3937652.html