Microsoft liefert letztmalig Updates für Windows 7 und Windows 8.1
Bei Windows 8.1 endet der erweiterte Support, bei Windows 7 die Extended Security Updates. Der Januar-Patchday bringt Fixes für 98 Sicherheitslücken. Darunter ist auch eine Schwachstelle, die bereits aktiv von Hackern ausgenutzt wird.
Microsoft hat den Januar-Patchday genutzt, um letztmalig Updates für Windows 7 und Windows 8.1 auszuliefern. Für Windows 8.1 endet heute der sogenannte erweiterte Support. Nutzer von Windows 7 erhalten heute zum letzten Mal im Rahmen der kostenpflichtigen Extended Security Updates Patches für das inzwischen fast 14 Jahre alte Betriebssystem.
Sein Support-Ende erreicht mit dem Januar-Patchday auch Windows Server 2008 R2. Alle drei Betriebssysteme gelten damit spätestens ab dem Februar-Patchday als unsicher. Laut aktuellen Zahlen von StatCounter hatte Windows 7 im Dezember noch einen Anteil von 11,2 Prozent an allen Windows-Installationen. Windows 8.1 kam zu dem Zeitpunkt auf einen Anteil von 2,6 Prozent.
Insgesamt stopft Microsoft im Januar 98 Löcher in Windows sowie Produkten wie Office, SharePoint und Exchange Server. Elf Anfälligkeiten sind als kritisch bewertet. Darunter ist auch eine Zero-Day-Lücke.
Sie steckt in allen unterstützten Versionen von Windows und Windows Server. Ein Angreifer kann unter Umständen die Sandbox des Browsers Edge verlassen und Schadcode mit System-Rechten ausführen. Der Sicherheitsexperte Dustin Childs von der Zero Day Initiative vermutet, dass die Lücke zur Verbreitung von Schadsoftware genutzt wird, da sie laut Microsoft vom Sicherheitsanbieter Avast entdeckt wurde.
Als kritisch stuft Microsoft aber auch Fehler in den Kryptographiediensten, SharePoint Server sowie den Protokollen L2TP und SSTP ein. Sie erlauben jeweils das Einschleusen und Ausführen von Schadcode aus der Ferne. Weitere Schwachstellen in Office, Bluetooth, der Graphics-Komponente sowie mehreren Windows-Komponenten lassen sich unter Umständen auch missbrauchen, um Sicherheitsfunktionen zu umgehen, vertrauliche Daten auszuspähen, höhere Rechte als die eines angemeldeten Benutzer zu erlangen oder Denial-of-Service-Angriffe auszuführen.