Microsoft mit neuem Patch-Rekord: 129 Bugfixes im Juni

Mit 129 gestopften Lücken im Juni schließt Microsoft nicht nur zum vierten Mal in Folge mehr als 100 Sicherheitslücken – es waren auch noch nie mehr seit der Einführung des Update-Dienstags im Oktober 2003. Die 11 als kritisch ausgewiesenen Sicherheitslücken betreffen Windows, den Internet Explorer, Edge (Edge-HTML) und Office. Die die übrigen 118 Lücken stuft Microsoft als hohes Risiko ein. Keine der Schwachstellen wird bereits ausgenutzt oder war schon vorab öffentlich bekannt. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI und Bleeping Computer das Thema Patch Day auf. Internet Explorer (IE) Das neue kumulative Sicherheits-Update (4561603) für den Internet Explorer 11 beseitigt acht Schwachstellen in dem Browser-Fossil. Microsoft stuft vier der Lücken als kritisch ein. Seit 11. Februar 2020 liefert Microsoft nur noch Updates für den IE 11. Wer Windows Server 2012 oder Windows Embedded 8 einsetzt, kann ein Update installieren, das den IE 10 auf Version 11 hebt. Edge Im IE-Nachfolger Edge (EdgeHTML-basiert) hat Microsoft im Juni nur drei Sicherheitslücken beseitigt. Zwei der Lücken stuft Microsoft als kritisch ein. Die Schwachstelle CVE-2020-1219 teilt sich Edge mit dem IE. Die neue Generation Edge (Chromium-basiert) erhält Sicherheits-Updates außerhalb des Update-Dienstags über die im Browser integrierte Aktualisierungsfunktion. Die neueste Version 83.0.478.45 hat Microsoft bereits am 4. Juni veröffentlicht . Edge (Chromium-basiert) ist damit wieder auf dem gleichen Stand wie Google Chrome. Office In seiner Office-Produktfamilie hat Microsoft in diesem Monat 17 Sicherheitslücken beseitigt. Microsoft stuft eine dieser Schwachstellen (CVE-2020-1181) als kritisch ein. Sie betrifft Sharepoint. Zwei Excel-Schwachstellen (CVE-2020-1242, -1225) können es einem Angreifer ermöglichen, mit Hilfe speziell präparierter Office-Dokumente beliebigen Code einzuschleusen und mit Benutzerrechten auszuführen. Dies gilt auch für die Office-Lücke CVE-2020-1321, die auch Office für Mac betrifft. Ebenfalls auch für Mac-Nutzer relevant ist die Outlook-Schwachstelle CVE-2020-1229. Diese ermöglicht das Nachladen von Bilddateien aus dem Internet, auch in der Vorschau. In Kombination etwa mit einer GDI-Lücke könnte ein Angreifer womöglich sogar Code einschleusen und ausführen. Windows Der überwiegende Teil der Schwachstellen, 93 Lücken, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen.

➤ Die neuesten Sicherheits-Updates Microsoft stuft fünf Windows-Lücken als kritisch ein. Darunter ist die dritte LNK-Lücke dieses Jahres (CVE-2020-1299), deren Beschreibung der der beiden anderen ähnelt. Solche Schwachstellen sind recht beliebt, um Schadprogramme oder Spionage-Tools per USB-Stick auf Rechner zu bringen, die nicht ans Netzwerk angeschlossen sind („air-gapped“). Die Sicherheitslücke CVE-2020-1300 besteht im fehlerhaften Umgang mit CAB-Archiven. Öffnet ein Benutzer eine speziell präparierte CAB-Datei, etwa einen vermeintlichen Treiber für einen Netzwerk-Drucker, wird enthaltener Code ausgeführt. Das passiert auch im Fall der OLE-Schwachstelle CVE-2020-1281, wenn ein Benutzer eine präparierte Datei öffnet. Hier ist das Spektrum der infrage kommenden Dateitypen jedoch ungleich breiter. Web und Mail sind typische Angriffsvektoren für diese Lücke. Extended Security Updates (ESU) Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 37 Lücken schließen. Darunter sind drei als kritisch eingestufte Schwachstellen, nämlich die zuvor erwähnten Windows-Lücken. Im Juni gibt es kein neues Windows-Tool zum Entfernen bösartiger Software . Microsoft liefert seit Mai nur noch alle drei Monate eine neue Version aus. Demnach sollte es erst im August eine frische Wurmkur geben. Der nächste turnusmäßige Patch Day ist am 14. Juli.