Patch Day: Keine kritischen Lücken zu stopfen?

Der zweite Patch Day dieses Jahres kommt recht unspektakulär daher. Die Updates vom 8. Februar beheben lediglich 48 Schwachstellen, die in der Vorwoche in Edge gestopften Lücken nicht mitgerechnet. Microsoft stuft alle Schwachstellen als hohes Risiko ein, keine als kritisch. Die Lücken betreffen unter anderem Windows und Microsoft Office. Eine Schwachstelle (CVE-2022-21989) war vorab öffentlich bekannt, Angriffe sind bislang nicht bekannt. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates . Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf. Browser Das jüngste Sicherheits-Update für Edge (Chromium) ist die Version 98.0.1108.43, die bereits seit dem 3. Februar verfügbar ist. Sie basiert auf Chromium 98.0.4758.80 und beseitigt neben etlichen Chromium-Lücken auch drei Edge-eigene Sicherheitslücken. Office In seiner Office-Produkten hat Microsoft im Januar 11 Schwachstellen behoben. Microsoft weist alle als hohes Risiko aus. Vier Lücken sind geeignet, um mit präparierten Office-Dokumenten Code einzuschleusen und auszuführen. Auch Office für Mac ist betroffen, doch die entsprechenden Updates sind noch nicht verfügbar. In allen Teams-Versionen einschließlich iOS und Android steckt eine DoS-Schwachstelle (CVE-2022-21965), die durch Updates beseitigt wird. Windows Die Mehrzahl der Schwachstellen, in diesem Monat 26, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen. Netzwerk-Admins sollten insbesondere die Lücke CVE-2022-21984 in Windows DNS Server beachten. Falls dynamische Updates aktiviert sind, könnte ein Angreifer Code einschleusen und mit erhöhen Berechtigungen ausführen. Auch die Schwachstelle CVE-2022-21995 in Hyper-V sollten Sie priorisieren. Bei erfolgreicher Ausnutzung könnte Code im Gastsystem aus der virtuellen Maschine ausbrechen und auf dem Host ausgeführt werden. Für private Anwender dürften eher die vier Sicherheitslücken in Video-Codecs (HEVC/H.264, VP9) aus dem Microsoft Store relevant sein. Mit präparierten Dateien eingeschleuster Code könnte mit Benutzerrechten ausgeführt werden. Die Updates für die betroffenen Video-Erweiterungen installiert der Microsoft Store im Normalfall automatisch. Vier Schwachstellen im Windows-Druckdienst könnte ein Angreifer nutzen, um sich höhere Berechtigungen zu verschaffen. Extended Security Updates (ESU) Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die zehn Lücken schließen. Darunter sind diesmal keine, die ausgenutzt werden könnten, um eingeschleusten Code auszuführen. Auch im Februar gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software . Der nächste turnusmäßige Update-Dienstag ist am 8. März 2022.