cnt
Zero-Day-Lücken nach Windows-Update
Quelle: Pixabay/geralt

Zero-Day-Lücken nach Windows-Update

Ein Windows-Patch aus dem November-Patchday schliesst die fragliche Lücke nicht korrekt und bringt zwei neue Zero-Day-Schwachstellen.
24. November 2021

     

Mit dem November-Patchday schloss Microsoft die mit CVSS-Schweregrad 5.5 eingestufte Sicherheitslücke CVE-2021-41379 im Windows Installer, die lokalen Nutzern erlaubte, mit höheren Berechtigungen zu arbeiten, indem die Group Policy, die per Default MSI-Operationen nur für Administratoren zulässt, komplett umgangen wird. Der Security-Forscher Abdelhamid Naceri hat den entsprechenden Patch untersucht und festgestellt, dass der Patch erstens die fragliche Lücke nicht wirklich behebt und dass damit zwei weitere Lecks Einzug gehalten haben, wie Naceri in einem Github-Projekt anhand eines Proof-of-Concept nachweist. Gemäss dem Cisco-Talos-Team werden die Schwachstellen bereits aktiv ausgenutzt.


Demnach tritt das Problem bei allen derzeit unterstützten Windows-Versionen auf, inklusive Windows 11 und Windows Server 2022 mit installierten November-Patches. Der beste Workaround, so Naceri abschliessend: Man soll schlicht darauf warten, dass Microsoft ein neues Sicherheits-Update nachliefert. Für andere Abhilfemassnahmen sei die Schwachstelle zu komplex. (ubi)


Weitere Artikel zum Thema

Windows-Update stört App-Installer

21. November 2021 - Nach der Installation des November-Windows-Updates kann es sein, dass der Windows Installer nicht mehr richtig funktioniert und sich reparierte Apps nicht mehr starten lassen.

Microsoft gibt Gas beim Windows-11-Rollout

19. November 2021 - Nachdem sich bis anhin keine grösseren Probleme beim Upgrade auf Windows 11 gezeigt haben, will Microsoft das neue Betriebssystem nun breiter verteilen.

Intel-Sound-Treiber führt zu Blue Screen in Windows 11

18. November 2021 - Rund um die Intel-Smart-Sound-Technology-Treiber und Windows 11 gibt es Kompatibilitätsprobleme, die das Betriebssystem abstürzen lassen.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER