Im Rahmen seines monatlichen Security-Updates im September 2024 hat Microsoft insgesamt 79 Schachstellen behoben. Dazu gehören auch mehrere fünf Zero-Day-Lücken. Bei vier davon weist der Hersteller darauf hin, dass sie bereits ausgenutzt werden - eine wichtige Information für alle, die - aus welchen Gründen auch immer - beim Patchen Prioritäten setzen müssen.
Allerdings befindet sich mit der Sicherheitslücke mit der Kennzeichnung CVE-2024-43461 noch eine weitere Zero-Day-Schwachstelle darunter. Sie steckt in MSHTML / EdgeHTML, das wiederum Teil des (abgekündigten) Internet Explorer 11 und älterer Microsoft- Edge-Anwendungen ist, hat einen CVSS-Base-Score von 8,8 und sei mit wenig Aufwand auszunutzen.
Allerdings erklärt Microsoft, die Schwachstelle werde aktuell noch nicht ausgenutzt. Deren Entdecker von der Trend Micro Zero Day Initiative (ZDI) sehen das jedoch anders. Dustin Childs, Sprecher der ZDI, schreibt im Blogpost zum September-Patchday: "Eine dieser CVEs [in der Microsoft-Liste für September] ist als öffentlich bekannt aufgeführt, und vier weitere werden zum Zeitpunkt der Veröffentlichung als aktiv angegriffen aufgeführt. Wir vom ZDI sind jedoch der Meinung, dass es fünf sein sollten."
Security-Expoerte sieht dringenden Handlunsbedarf
CVE-2024-43461 (Windows MSHTML Platform Spoofing Vulnerability) ähnelt laut Childs einer ebenfalls von der ZDI gemeldeten und bereits im Juli gepatchten Lücke (CVE-2024-38112). "Das ZDI Threat Hunting Team entdeckte diesen Exploit in freier Wildbahn und meldete ihn bereits im Juni an Microsoft. Es scheint, dass Bedrohungsakteure den vorherigen Patch schnell umgangen haben. Als wir Microsoft über den Fehler informierten, gaben wir an, dass er aktiv genutzt wird."
Childs erklärt weiter: "Wir sind uns nicht sicher, warum sie [Microsoft] ihn nicht als aktiv angegriffen auflisten, aber Sie sollten ihn so behandeln, als ob er aktiv angegriffen würde, insbesondere da er alle unterstützten Windows-Versionen betrifft."
Kritik an Microsofts Umgang mit Sicherheitslücken