Update: Sicherheitslücken in Windows und Unrar werden ausgenutzt

Die US-Cybersicherheitsbehörde warnt vor zwei Sicherheitslücken, die bereits aktiv ausgenutzt werden. Patches sollten umgehend eingespielt werden.

Artikel veröffentlicht am ,
Entpacken kann gefährlich sein.
Entpacken kann gefährlich sein. (Bild: bluebudgie/Pixabay)

Die für Cybersicherheit zuständige US-Behörde Cisa warnt vor zwei Sicherheitslücken, die nachweislich aktiv ausgenutzt werden. Eine davon betrifft Windows, die andere Unrar.

Stellenmarkt
  1. IT Application Service Manager (m/f/x)
    Daiichi Sankyo Europe GmbH, Munich
  2. Fachinformatikerin / Fachinformatiker (w/m/d) für IT-Support und ServiceDesk OnSite
    Deutsches Jugendinstitut e.V., München
Detailsuche

Bei der Sicherheitslücke in Windows handelt es sich laut dem Onlinemagazin Bleepingcomputer um eine bereits mehr als zwei Jahre alte Zero Day im Windows Support Diagnostic Tool (MSDT), für den ein Exploit-Code öffentlich zugänglich ist.

Das Problem wurde demnach bereits im Januar 2020 durch den Forscher Imre Rad gemeldet, allerdings wurde sein Bericht fälschlicherweise nicht als Beschreibung eines Sicherheitsproblems eingestuft und entsprechend als Sicherheitslücke zurückgewiesen.

Erst als der Sicherheitsforscher j00sean dieses Jahr erneut auf das Problem (CVE-2022-34713) aufmerksam machte, erstellte Microsoft einen Patch, der im Rahmen der Sicherheitsupdates vom August 2022 verteilt wurde. Betroffen sind demnach Windows 7, 10 und 11 sowie Windows Server 2008 bis 2022.

Updates beheben Sicherheitslücken

Golem Karrierewelt
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    21.-23.11.2022, Virtuell
  2. Blender Grundkurs: virtueller Drei-Tage-Workshop
    12.-14.12.2022, Virtuell
Weitere IT-Trainings

Die Sicherheitslücke ermöglicht es Angreifern, eine ausführbare Datei im Windows-Startordner zu platzieren. Dazu müssten sie ihre Opfer beispielsweise mittels Social Engineering dazu bringen, einen präparierten E-Mail-Anhang zu öffnen, wie Microsoft in einem kürzlich veröffentlichten Sicherheitshinweis schreibt.

"In einem webbasierten Angriffsszenario kann ein Angreifer eine Webseite einrichten (oder eine manipulierte Webseite nutzen, die von Nutzern bereitgestellte Inhalte akzeptiert oder hostet), die eine speziell gestaltete Datei enthält, über die diese Sicherheitsanfälligkeit ausgenutzt werden kann", schreibt Microsoft.

Cisa warnt zudem vor einer Sicherheitslücke (CVE-2022-30333) in Unrar, einem Tool, mit dem unter Linux Rar-Archive entpackt werden können. Bei der Schwachstelle handelt es sich um einen Path Traversal. Mit diesem kann der Zielordner der zu entpackenden Datei geändert werden. So lassen sich beispielsweise Dateien überschreiben. Cisa erwartet von den US-Bundesbehörden, dass sie die Sicherheitslücken in ihren Systemen bis zum 30. August durch das Einspielen von Updates beheben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Centaur CHA im Test
Der letzte x86-Prozessor seiner Art

Weil Centaur von Intel übernommen wurde, ist der CHA-Chip nie erschienen. Ein achtkerniger Prototyp gewährt dennoch spannende Einblicke.
Ein Test von Marc Sauter

Centaur CHA im Test: Der letzte x86-Prozessor seiner Art
Artikel
  1. US-Whistleblower: Putin verleiht Snowden die russische Staatsbürgerschaft
    US-Whistleblower  
    Putin verleiht Snowden die russische Staatsbürgerschaft

    US-Whistleblower Edward Snowden ist nun auch russischer Staatsbürger. Für den Krieg gegen die Ukraine kann er aber vorerst nicht eingezogen werden.

  2. Luftfahrt: Undefined Technologies testet Drohne mit Ionenantrieb
    Luftfahrt
    Undefined Technologies testet Drohne mit Ionenantrieb

    Die Drohne des US-Start-ups Undefined Technologies soll leiser sein als Multicopter und als Lieferdrohne eingesetzt werden.

  3. Creative Commons, Pixabay, Unsplash: Rechtliche Fallstricke bei Gratis-Stockfotos
    Creative Commons, Pixabay, Unsplash
    Rechtliche Fallstricke bei Gratis-Stockfotos

    Pixabay, Unsplash, CC ermöglichen eine gebührenfreie Nutzung kreativer Werke. Vorsicht ist dennoch geboten: vor Abmahnmaschen, falschen Quellenangaben, unklarer Rechtslage.
    Eine Analyse von Florian Zandt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek: PC-Tower, Cooling & Co. • Günstig wie nie: Asus RX 6700 XT 539€, FIFA 23 PS5 59,99€, Acer 31,5" 4K 144 Hz 899€, MSI RTX 3090 1.159€ • AMD Ryzen 7 5800X 287,99€ • Xbox Wireless Controller 49,99€ • MindStar (Gigabyte RTX 3060 Ti 522€) [Werbung]
    •  /