Mit 58 gestopften Lücken im Dezember bleibt Microsoft deutlich unter dem Schnitt dieses Jahres. Kurz vor Jahresende ist die Gesamtzahl damit auf 1250 angewachsen. Neun als kritisch ausgewiesenen Sicherheitslücken betreffen Edge Legacy (EdgeHTML), Hyper-V, Exchange Server, Sharepoint sowie Dynamics 365. Die übrigen Lücken stuft Microsoft bis auf drei als hohes Risiko ein. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im überarbeiteten Leitfaden für Sicherheitsupdates . Der ist durch den Facelift keineswegs leichter zugänglich geworden. Wie gewohnt weit übersichtlicher bereitet etwa Dustin Childs im Blog von Trend Micro ZDI das Thema Patch Day auf.
Internet Explorer (IE) Der Browser Internet Explorer 11 bekommt im Dezember, wie bereits im Oktober , keine Updates. Die Tage des IE sind inzwischen gezählt . Edge Der IE-Nachfolger Edge (EdgeHTML) erhält ein Update, das eine als kritisch ausgewiesene Sicherheitslücke (CVE-2020-17131) schließt. Sie steckt im Javascript JIT-Compiler ChakraCore . Für den neuen Edge (Chromium-basiert) hat es bereits tags zuvor ein Sicherheits-Update auf die neue Version 87.0.664.57 gegeben. Diese basiert auf Chromium 87.0.4280.88. Office In seiner Office-Familie hat Microsoft auch in diesem Monat 15 Schwachstellen beseitigt. Microsoft weist zwei der fünf Sharepoint-Lücken als kritisch aus, der Rest ist bis auf eine als hohes Risiko eingestuft. Sechs Excel-Lücken sowie eine in Powerpoint sind geeignet, um mit präparierten Dokumenten Code einzuschleusen und auszuführen. Microsoft weist solche Schwachstellen jedoch in aller Regel nicht als kritisch aus, da ein Benutzer ein solches Dokument zunächst öffnen muss, damit Schadcode wirken kann. Office 2019 für Mac ist zwar ebenfalls betroffen, Updates gibt es hierfür jedoch noch nicht. Windows Der großer Teil der Schwachstellen, im Dezember sind es 20, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen. Microsoft stuft nur eine Windows-Lücke als kritisch ein. Diese steckt in der Virtualisierungslösung Hyper-V. Schädlicher Code kann aus der virtuellen Maschine ausbrechen und auf dem Host-System ausgeführt werden. In der Backup-Engine aller Windows-Versionen hat Microsoft insgesamt sieben Schwachstellen behoben, die es einem Angreifer ermöglichen können, sich höhere Berechtigungen zu verschaffen. Einen Fehler (CVE-2020-17099) im Windows-Sperrbildschirm könnte ein Unbefugter vor Ort nutzen, um einen gesperrten Rechner zu entsperren. Dies betrifft Windows 10 und die zugehörigen Server-Editionen. Visual Studio Drei Schwachstellen in Visual Studio Code sowie eine in Visual Studio sind geeignet, um eingeschleusten Code auszuführen.
Exchange Server Microsoft weist drei Sicherheitslücken (CVE-2020-17117/-132/-142) in Exchange Server 2013 bis 2019 als kritisch aus. Hinzu kommen zwei weitere (CVE-2020-17141/-144), die in der spärlichen Dokumentation praktisch identisch wirken, jedoch lediglich als hohes Risiko ausgewiesen sind. Alle fünf Schwachstellen können genutzt werden, um Code einzuschleusen und auszuführen. Extended Security Updates (ESU) Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die neun Lücken schließen. Darunter sind keine als kritisch ausgewiesene Schwachstellen. Der nächste turnusmäßige Update-Dienstag ist am 12. Januar 2021.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.