Mit 125 gestopften Lücken im Juli schließt Microsoft zum fünften Mal in Folge und zum sechsten Mal in diesem Jahr mehr als 100 Sicherheitslücken in einem Monat. Wenn es in dieser Kadenz weitergeht, übertrifft Microsoft bereits im August die Gesamtzahl des Vorjahres (851) – die der Jahre 2017 und 2018 sind schon übertroffen. Die 19 als kritisch ausgewiesenen Sicherheitslücken betreffen Windows, den Internet Explorer, Office, Hyper-V sowie das .NET Framework. Die die übrigen Lücken stuft Microsoft als hohes Risiko ein. Keine der Schwachstellen wird bereits ausgenutzt, eine war schon vorab öffentlich bekannt. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI das Thema Patch Day auf. Internet Explorer (IE) Das neue kumulative Sicherheits-Update (4565479) für den Internet Explorer 11 beseitigt zwei Schwachstellen in dem Browser-Relikt. Microsoft stuft eine der Lücken (CVE-2020-1403) als kritisch ein. Seit 11. Februar 2020 liefert Microsoft nur noch Updates für den IE 11. Wer Windows Server 2012 oder Windows Embedded 8 einsetzt, kann ein Update installieren, das den IE 10 auf Version 11 hebt. Edge Im IE-Nachfolger Edge (EdgeHTML-basiert) hat Microsoft im Juli ebenfalls zwei Sicherheitslücken beseitigt. Keine der Lücken stuft Microsoft als kritisch ein. Die neue Generation Edge (Chromium-basiert) erhält Sicherheits-Updates außerhalb des Update-Dienstags über die im Browser integrierte Aktualisierungsfunktion. Die neueste Version 83.0.478.64 hat Microsoft bereits am 13. Juli veröffentlicht. Eine weiteres Update könnte noch in dieser Woche folgen, da Google Chrome 84 freigegeben hat. Office In seiner Office-Produktfamilie hat Microsoft in diesem Monat 21 Sicherheitslücken beseitigt. Microsoft weist vier dieser Schwachstellen als kritisch aus. Sie betreffen Outlook, Sharepoint, Lync und Skype for Business. Die Outlook-Lücke (CVE-2020-1349) ermöglicht es einem Angreifer, eingeschleusten Code bereits auszuführen, wenn eine präparierte Mail auch nur in der Vorschau angezeigt wird. CVE-2020-1147 betrifft Sharepoint Server, das .NET Framework und Visual Studio. Der fehlerhafte Umgang mit XML-Formatierungen kann zum Ausführen eingeschleusten Codes führen. Um das Problem zu beheben, muss auch der Patch für CVE-2020-1439 eingespielt werden. Windows Der überwiegende Teil der Schwachstellen, 96 Lücken, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen. Microsoft stuft 14 Windows-Lücken als kritisch ein. Darunter ist die vierte LNK-Lücke dieses Jahres (CVE-2020-1421), deren Beschreibung der der drei vorherigen ähnelt. Solche Schwachstellen sind recht beliebt, um Schadprogramme oder Spionage-Tools per „gefundenem“ USB-Stick in Rechner zu schleusen, die nicht ans Netzwerk angeschlossen sind („air-gapped“). Alle Windows Server, die als DNS-Server konfiguriert sind, sollten umgehend den Patch gegen CVE-2020-1350 erhalten. Mit einer speziell präparierten DNS-Anfrage könnte ein Angreifer im Netzwerk diese SChwachstelle ausnutzen, um Code einzuschleusen und mit den Rechten des lokalen Systemkontos auszuführen. Damit könnte sich Schadcode im Netzwerk von einem DNS-Server zum nächsten fortpflanzen – ein Malware-Wurm ginge reihum. Hyper-V In seiner Virtualisierungslösung Hyper-V muss Microsoft gleich sechs kritische Schwachstellen beheben. Das geht in diesem Fall ganz einfach: Das Update entfernt die anfällige Komponente (RemoteFX vGPU), sie wird nicht mehr unterstützt – Problem gelöst. Extended Security Updates (ESU) Unternehmen und Organisationen, die an Microsofts kostenpflichtigem ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 43 Lücken schließen. Darunter sind 13 als kritisch ausgewiesene Schwachstellen. Auch im Juli gibt es kein neues Windows-Tool zum Entfernen bösartiger Software. Microsoft liefert seit Mai nur noch alle drei Monate eine neue Version aus. Demnach sollte es erst im August eine frische Wurmkur geben. Der nächste turnusmäßige Patch Day ist am 11. August.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.