Microsoft hat kritische Schwachstellen in mehreren Windows-Programmen geschlossen. Windows-Nutzer sollten die aktuellen Updates so schnell wie möglich installieren, um ihren Rechner vor Angriffen zu schützen. Besonders betroffen waren Word sowie die Browser Edge und Internet Explorer.
Seit Freitagabend gab es Berichte über eine schwerwiegende Sicherheitslücke in Word. Angreifer konnten über ein präpariertes RTF-Dokument Schadcode ausführen. Am Montag wurde bekannt, dass Kriminelle im großen Stil versuchten, die Schwachstelle auszunutzen, indem sie Millionen E-Mails verschickten, um den Empfängern einen Trojaner für Online-Banking unterzujubeln. Die Angriffe richteten sich allerdings vorrangig gegen Nutzer in Australien.
Experten kritisieren Microsoft für die langsame Reaktion. IT-Sicherheitsforscher Ryan Hanson schreibt auf Twitter, er sei bereits im Juli 2016 auf die Lücke gestoßen und habe Microsoft im Oktober davon in Kenntnis gesetzt. Da Microsoft selbst Hanson als Entdecker bezeichnet, scheint die Behauptung glaubwürdig. Die Sicherheitsfirma McAfee, die als erste über die Angriffe berichtet hatte, gibt an, die Schwachstelle werde bereits seit Januar dieses Jahres ausgenutzt. Auch die Sicherheitsfirmen Netskope und Fireeye haben festgestellt, dass Kriminelle die Lücke nutzen, um Schadsoftware zu verteilen.
Microsoft lässt Nutzer und Sicherheitsforscher im Unklaren
Warum Microsoft so lange brauchte, um die Schwachstelle zu schließen, ist nicht bekannt. Dan Goodin, Reporter für IT-Sicherheit bei Ars Technica, nennt Microsofts ausbleibende Stellungnahme "schwer zu entschuldigen". Früher habe das Unternehmen Sicherheitslücken offen eingestanden und das weitere Vorgehen erklärt. Im Laufe des vergangenen Jahres sei Microsoft diesbezüglich aber immer schweigsamer geworden.
So hatte die PR-Abteilung etwa Anfang Februar einen gefährlichen 0-day-Exploit (eine Schwachstelle, die Kriminelle ausnutzen, bevor der Hersteller einen Patch veröffentlicht) in Windows 10 kleingeredet. Wenig später wurde das gewohnte monatliche Sicherheitsupdate für Windows kurzfristig abgesagt. Eigentlich verteilt Microsoft am "Patch Tuesday" immer am zweiten Dienstag eines Monats wichtige sicherheitsrelevante Patches. Der 14. März war die erste Ausnahme seit 13 Jahren - wofür Microsoft keine Gründe nannte.
Auch die Release Notes für das aktuelle Sicherheitsupdate enthalten keine neuen Erkenntnisse über die Schwachstelle in Microsoft Word. Der entsprechende Eintrag beschreibt lediglich bereits bekannte Details. Unabhängig davon sollten Nutzer das Update so schnell wie möglich installieren. Es schließt Dutzende weitere Lücken, darunter auch mehrere, die Microsoft als kritisch einstuft.
So können Nutzer das Update installieren
Nutzer von Windows 10 öffnen dafür die Windows-Einstellungen und klicken unter "Update und Sicherheit" auf "Nach Updates suchen". In Windows 7 und 8 finden sich die Update-Einstellungen unter Systemsteuerung > System und Sicherheit > Windows Update. Alternativ können Nutzer aller Windows-Versionen einfach das Startmenü öffnen und nach "Update" suchen.
Wer immer noch Windows Vista verwendet, bekommt das Update zum letzten Mal: Am Dienstag stellte Microsoft den Support offiziell ein. Vista erhält ab sofort keine sicherheitsrelevanten Aktualisierungen mehr und dürfte damit innerhalb kurzer Zeit zum Sicherheitsrisiko für Nutzer werden. Nutzer von Windows 7 haben länger Zeit, um auf Windows 10 umzusteigen: Das letzte Update für das nach wie vor beliebte Betriebssystem soll am 14. Januar 2020 veröffentlicht werden.
