Nach wie vor ist Patchen bei diversen Windows-Versionen zwingend angesagt, wenn man dem in der Regel strengen deutschen Bundesamt für Sicherheit in der Informationstechnik( BSI) glauben will. Es hat soeben eine Liste mit Lücken der eher selten vergebenen, höchsten Risikostufe fünf veröffentlicht.

Betroffen sind demnach unter anderem die Microsoft-Betriebssysteme Windows 10, Windows 7 SP1, Windows 8.1, diverse Windows Server 2008 und Windows Server 2012 sowie Windows Server 2016. Ausserdem wird explizit noch auf die Virtual Storage Platform von Hitachi hingewiesen.

Interessant ist bei der Aufzählung, dass für die genannten CVE-Nummern (Common Vulnerabilities and Exposures) zum Teil schon seit Monaten Updates zur Verfügung stehen. Doch kommen die offensichtlich nicht bei den Anwendern an.

Auf Anfrage begründet das BSI die höchste Risikostufe damit, "dass die Schwachstelle laut Beschreibung Codeausführung zulässt und von einem entfernten Angreifer (aus dem Netz) ausgenutzt werden kann". Dass ein Patch verfügbar ist, "ändert an der Einstufung erstmal nichts, denn das Problem ist erst dann gelöst, wenn der Patch vom Anwender eingespielt wurde".

Die Einstufung sei insofern auch eine Motivation für die Empfänger der Warnung, Patches mit hoher Dringlichkeit auch tatsächlich einzuspielen, wird denn auch weiter betont.

Laut BSI erlauben die unberücksichtigt gelassenen Sicherheitslücken, dass Angreifer bestehende Sicherheitsvorkehrungen umgehen, vertrauliche Daten einsehen und Privilegien oder Code missbrauchen können. (vri)