Microsoft hat die Verschiebung des Patchdays in diesem Monat datiert und angekündigt, die für Februar geplanten Sicherheitsupdates am 14. März zu veröffentlichen.



Am sogenannten Patchday liefert Microsoft an jedem zweiten Dienstag im Monat für diverse Produkte wie Office und Windows Sicherheitsupdates und Bugfixes aus. Diesen Monat hat das Unternehmen den Patchday erstmals verschoben und dafür keinen konkreten Grund geliefert. Nach einer ersten Stellungnahme blieb zudem noch unklar, wann Microsoft die geplanten Sicherheitspatches nachliefern will.



Kritische Sicherheitslücken bleiben offen



Nun ist klar, dass noch offene Sicherheitslücken in Windows & Co. erst in einem Monat abgesichert werden. Das bedeutet konkret, dass die Webbrowser Edge und Internet Explorer 11 durch diverse kritische Sicherheitslücken in Flash gefährdet sind. Im schlimmsten Fall könnten Angreifer durch ein Ausnutzen der Schwachstellen Schadcode auf Computer schieben und ausführen. Adobe hat die Flash-Lücken zwar bereits geschlossen, die Webbrowser von Microsoft erhalten die abgesicherte Flash-Version jedoch über die Windows-Update-Funktion.



Es ist davon auszugehen, dass auch in Windows weitere Sicherheitslücken klaffen, die nun einen Monat auf eine Absicherung warten müssen. In der Vergangenheit gab es im Grunde keinen Patchday, an dem keine kritischen Lücken in Office und Windows geschlossen wurden.



In jedem Fall steht noch ein Patch aus, der die Zero-Day-Lücke in der SMB-Bibliothek von Windows schließt. Angreifer können Windows-Clients und -Server durch die Lücke zum Absturz bringen (Denial of Service). Entgegen erster Annahmen ist es nach derzeitigem Kenntnisstand nicht möglich, Code durch die Schwachstelle einzuschleusen.



Grund für Verschiebung



Warum Microsoft die Verteilung der Sicherheitspatches um einen ganzen Monat verschiebt, ist immer noch unklar. Das Unternehmen erklärt weiterhin lediglich, dass es in letzter Minute auf ein Problem gestoßen ist, das einige Nutzer beeinträchtigen könnte und nicht rechtzeitig gelöst werden konnte.



Es gibt Spekulationen, dass die bereits im Dezember 2016 für den Februar angekündigte Umstellung zum Abrufen von Infos zu Sicherheitspatches Schuld an der Verschiebung sein könnte. Im Zuge dessen will Microsoft dafür nicht mehr wie gewohnt die Security Bulletins nutzen, sondern diese durch den kürzlich gestarteten Security Updates Guide ersetzen. Doch inwieweit diese Umstellung Einfluss auf die Auslieferung von Microsoft-Updates nimmt, ist derzeit nicht bekannt. (des)