Microsoft Patchday – 21-Jahre-alte Lücke „BadTunnel“ endlich gefixt

von | Jun 16, 2016 | Patchdays |

Eine Skurilität gab es beim diesmonatigen Microsoft Patchday zu vermelden: Unter den insgesamt 16 Sicherheitsupdates, fünf davon kritisch, wurde eine bereits 21-Jahre alte  Lücke namens „BadTunnel“ gestopft. „BadTunnel“ betrifft alle Windows-Versionen seit Windows 95.

„BadTunnel“ gilt nicht als kritische Lücke. Über Sicherheitslücken im Windows-Modul Web Proxy Auto Discovery (WPAD) ist es möglich, den Netzwerk-Verkehr von Usern über den eigenen Rechner umzuleiten und damit den unverschlüsselten Traffic des jeweiligen Users auszuspionieren. Auch die Manipulation von Windows-Update Downloads ist laut dem Entdecker der Lücke möglich.

Der Patch ist nur für die noch unterstützten Windows-Versionen verfügbar. Nutzer von älteren Windows-Versionen müssen sich damit behelfen, NetBIOS über TCP/IP zu deaktivieren. Damit wird der gesamte Traffic über TCP/IP Direct Hosting geleitet.

Zu den kritischen Updates gehören im Juni  die Sammel-Updates für die beiden Browser Edge und Internet Explorer. Bei beiden Browsern ist es durch die Schwachstelle möglich, den Browser zu kapern und Schadcode auszuführen. Etwas entspannter ist die Situation beim IE 10, dennoch sollten auch hier die aktuellen Patches eingespielt werden.

Die Sicherheitsupdates können wie auch sonst über Microsoft Update installieren werden. Sollten Sie bereits Windows 10 nutzen, erhalten Sie die Patches als kumulatives Update, das gleichzeitig einige nicht-sicherheitsrelevante Probleme behebt.

Auch für Lücken im DNS-Server von Windows Server 2012 und 2012 R2, in Microsoft Office, in den JScript- und VBScript-Engines von Windows sowie im Kernel und diversen Windows-Komponenten wurden im Juni Patches veröffentlicht.

a

Textquellen & Links

Mehr Infos finden Sie hier:
technet.microsoft.com