Am Januar-Patchday überrascht Microsoft damit, ausschließlich Lücken in Windows zu schließen. Für den Internet Explorer wird lediglich ein Patch vom Dezember noch einmal aufgewärmt.
Am ersten Patchday des Jahres hat Microsoft acht Patch-Pakete veröffentlicht. Ein Update wird als “kritisch” eingestuft, sieben weitere gelten als “wichtig”. Die Patches betreffen diesmal ausschließlich Sicherheitslücken in Windows, weitere Programme sind ausnahmsweise nicht betroffen. Besonders die Abwesenheit von neuen Lücken für den Internet Explorer ist bemerkenswert; dieser war 2014 bei jedem einzelnen Patchday bedient worden. Diesmal hat Microsoft lediglich einen alten IE-Patch neu aufgewärmt.
Eine kritische Lücke im Telnet-Dienst
Die kritische Lücke betrifft den in Windows eingebauten Telnet-Dienst (MS15-002). Dieser kann von Angreifern dazu missbraucht werden, beliebigen Schadcode aus der Ferne auszuführen, ist aber seit Windows Vista auf Desktop-Versionen des Betriebssystems standardmäßig deaktiviert. Telnet ist ein Uralt-Protokoll, das zwar noch von einigen Administratoren zur Remote-Verwaltung von Servern verwendet wird, aber eigentlich durch sicherere Dienste abgelöst wurde.
Außerdem hat Microsoft, wie erwartet, die Privilege-Escalation-Lücke geschlossen, die Google zwei Tage vor dem Patchday ganz zu Microsofts Unmut verraten hatte (MS15-004). Administratoren sollten zusätzlich einer Lücke in der RADIUS-Umsetzung von Windows-Servern Beachtung schenken (MS15-007). Über diese kann ein unangemeldeter Benutzer den Anmelde-Server einer Windows-Domäne lahmlegen und verhindern, dass Nutzer sich auf Clients des Netzwerks anmelden können.
Die Update-Pannen gehen weiter
Microsofts Pannenserie bei Systemupdates scheint unterdessen nicht abzureißen. Zusätzlich zu den neuen Patch-Paketen musste die Firma das verbockte Sammel-Update für den Internet Explorer vom Dezember-Patchday ein weiteres Mal veröffentlichen. Hier müsste beim Fix für den VBScript-Bug (CVE-2014-6363) noch einmal nachgebessert werden.
Um noch eins drauf zu setzen scheint die Infrastruktur zum Ausliefern der Patches kurz nach der Veröffentlichung der Bulletins versagt zu haben. Nutzer berichteten davon, dass ihre WSUS-Updateserver sich nicht mit den Microsoft-Servern synchronisieren konnten. Endbenutzer sollen auch Probleme mit Windows Update gehabt haben. Zum heutigen Mittwochmorgen deutscher Zeit schien Microsoft die Probleme allerdings wieder in den Griff bekommen zu haben.
Für den Januar-Patchday hatte Microsoft zum ersten Mal Patches ohne Vorwarnung veröffentlicht. Das hatte bei vielen Systemadministratoren und in großen Teilen der Security-Gemeinde für Unruhe gesorgt. Viele Beobachter sehen darin einen Schritt in die falsche Richtung. Administratoren und Sicherheitsforscher wünschten sich mehr Transparenz zugunsten der Nutzer.