14 Patches für 45 Lücken

Patch Day macht FREAK-Sicherheitslücke den Garaus

Zum 10. März hat Microsoft im Rahmen seines Patch Days 14 Security Bulletins veröffentlicht, die sich 45 Sicherheitslücken annehmen, inklusive FREAK.

Symbolbild: Sicherheitslücke

© Sergey Nivens - Fotolia.com

Zum Patch Day gibt es insgesamt 14 Security Bulletins für 45 Schwachstellen.

Nachdem Probleme mit Microsofts FREAK-Workaround auftauchten, steht mit dem Patch Day im März 2015 endlich das Update bereit, das der Sicherheitslücke den Garaus macht. Das Sicherheitsupdate KB3032359 widmet sich dabei den betroffenen Stellen des Internet Explorers in den Versionen 6 bis 11. Der Patch Day bringt insgesamt 14 Security Bulletins für 45 Sicherheitslücken. Details zu den Updates des Patch Days im März lesen Sie auf microsoft.com. Die Patches kommen automatisch, wenn Ihr Windows-System mit dem Internet verbunden ist. Alternativ rufen Sie das Startmenü beziehungsweise den Startbildschirm auf, tippen "Windows Update" ein und starten den Dienst.

Die FREAK-Sicherheitslücke ist seit der vergangenen Woche bekannt. FREAK steht für Factoring Attack on RSA-EXPORT Keys, über die Schwachstelle können Angreifer die Daten von verschlüsselten HTTPS-Verbindungen mitlesen. Im Detail betroffen sind die Protokolle SSL und TLS, die für die Verschlüsselung der Daten zwischen den Browsern auf dem Client-Rechner und dem Server verantwortlich sind.

Angreifer können diese Lücke über eine Man-in-the-Middle-Attacke ausnutzen. Dabei klinkt sich ein Angreifer zwischen den Server und den Client und zwingt den Browser dazu, statt der eigentlich voreingestellten starken und zeitgemäßen Verschlüsselungstechnik (etwa 2048-Bit-RSA) die schwache Exportversion zu nutzen. Dadurch kann der Angreifer die gesendeten Daten relativ leicht entschlüsseln und auslesen.

Lesetipp: Windows Update - Probleme vermeiden

Die Hintergründe dieser Sicherheitslücke gehen bis in die frühen 1990er Jahre zurück. Damals galten in den USA Export-Auflagen, die Software-Hersteller dazu zwangen, in Produkten, die ins Ausland geliefert wurden, eine relativ schwache 512-Bit-Verschlüsselung einzubauen. Auch nachdem die Gesetzgebung geändert wurde und stärkere Verschlüsselungstechniken für den Export ins Ausland freigegeben wurden, wurde diese "Export-Verschlüsselung" nicht aus den Internet-Protokollen entfernt. Das bedeutet, dass viele Clients und Server diese schwache Verschlüsselung nach wie vor unterstützen, auch wenn sie im Normalfall nicht mehr verwendet wird.

Mehr zum Thema

Hacker-Symbolbild
Schwere Windows-Lücke

Microsoft hat rund eine Woche nach dem Patch-Day ein außerplanmäßiges Update veröffentlicht, das eine schwerwiegende Sicherheitslücke in Kerberos…
Windows Microsoft
Windows-Lizenzprüfungen

Nach einem Bericht, wonach Microsoft 15.000 Nutzer zwecks Windows-Lizenzprüfung anschrieb, nimmt der Konzern Stellung und beruhigt die Gemüter.
Windows Microsoft
KB3001652 Problem

Das aktuelle Windows Update sorgte für Probleme, Microsoft hat es korrigiert. Wer noch unter Abstürzen leidet, findet hier Abhilfe.
Symbolbild: Sicherheitslücke
FREAK-Sicherheitslücke

Ein Workaround mit Tipps von Microsoft, der eigentlich vor der FREAK-Sicherheitslücke schützen soll, macht Probleme mit Windows Update.
Sicherheitsschloss geknackt
Redirect to SMB

"Redirect to SMB" sei eine schwere Sicherheitslücke in Windows und vielen Programmen. Am meisten gefährdet sind laut Experten Nutzer öffentlicher…