Beim letzten turnusmäßigen Patch Day dieses Jahres am 13. Dezember hat Microsoft etliche Updates bereitgestellt, die 48 Schwachstellen beheben. Microsoft stuft sechs Schwachstellen als kritisch ein und weist den Rest, bis auf eine, als hohes Risiko aus. Die Lücken betreffen unter anderem Windows, Office (Sharepoint), Dynamics und Azure. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.
Browser-Updates
Das jüngste Sicherheits-Update für Edge ist die Version 108.0.1462.42 vom 5. Dezember. Sie basiert auf Chromium 108.0.5359.94 und beseitigt unter anderem eine 0-Day-Lücke in der Chromium-Basis. Microsoft hat am 8. Dezember ein Bugfix-Update auf Edge 108.0.1462.46 nachgelegt, das jedoch keine weiteren Schwachstellen behebt.
Office-Lücken
In seinen Office-Produkten, die zukünftig Microsoft 365 heißen sollen, hat Microsoft im Dezember 14 Schwachstellen behoben. Microsoft stuft zwei Sharepoint-Lücken (CVE-2022-44690, CVE-2022-44693) als kritisch ein, die übrigen als hohes Risiko. Bis auf eine sind alle Sicherheitslücken geeignet, um Code einzuschleusen und auszuführen (RCE: Remote Code Execution). Die Ausnahme ist CVE-2022-44713, eine Spoofing-Lücke in Outlook für Mac.
Schwachstellen in Windows
Die Mehrzahl der Schwachstellen, in diesem Monat 29, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen. Auch für Windows 8.1 endet der Support demnächst: Beim Update-Dienstag am 10. Januar 2023 erhalten Windows 8.1 sowie auch Windows RT 8.1 die letzten Sicherheits-Updates. Für Windows 10 21H1 war bereits gestern der letzte Patch Day.
Windows unter Beschuss
In Windows hat Microsoft zwei 0-Day-Lücken geschlossen. Eine (CVE-2022-44698) wird bereits ausgenutzt, um den Smartscreen-Filter zu umgehen. Sie hängt mit der Schwachstelle CVE-2022-41091 (Mark of the Web, MoW) zusammen, die Microsoft im November geschlossen hat. Microsoft gibt den Schweregrad der Lücke mit „moderat“ an. Bereits länger bekannt, aber bislang nicht genutzt, ist die als hohes Risiko eingestufte EoP-Lücke (Elevation of Privilege, Rechteausweitung) CVE-2022-44710 in DirectX.
Kritische Windows-Lücken
In Windows hat Microsoft zwei als kritisch eingestufte Sicherheitslücken im Secure Socket Tunneling Protocol (SSTP) behoben. Ebenfalls als kritisch eingestuft ist eine RCE-Schwachstelle (CVE-2022-41076) in der Powershell. Sie könnte Angreifern nützlich sein, die bereits in ein Netzwerk eingedrungen sind. Die RCE-Lücke CVE-2022-41089 im .NET Framework weist Microsoft nur für Windows Server 2022 als kritisch aus, für alle anderen Systeme als hohes Risiko – warum, bleibt Microsofts Geheimnis.
Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 15 Lücken schließen. Darunter sind drei als kritisch ausgewiesene Sicherheitslücken: die Powershell-Lücke und die beiden SSTP-Schwachstellen.
Auch im Dezember gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der erste turnusmäßige Update-Dienstag 2023 ist am 10. Januar.