Beim Patch Day am 13. Juni hat Microsoft etliche Updates bereitgestellt, die 78 Schwachstellen beheben. Microsoft stuft sechs Schwachstellen als kritisch ein und weist den Rest bis auf eine als hohes Risiko aus. Die kritischen Lücken betreffen vor allem Windows sowie Sharepoint, .NET und Visual Studio. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.
Die wichtigsten Sicherheitslücken beim Patch Day im Juni
| CVE | anfällig | Schwere-grad | Auswirkung | ausgenutzt | vorab bekannt |
|---|---|---|---|---|---|
| CVE-2023-24897 | .NET, Visual Studio | kritisch | RCE | nein | nein |
| CVE-2023-32013 | Windows (Hyper-V) | kritisch | DoS | nein | nein |
| CVE-2023-29363 | Windows (PGM) | kritisch | RCE | nein | nein |
| CVE-2023-32014 | Windows (PGM) | kritisch | RCE | nein | nein |
| CVE-2023-32015 | Windows (PGM) | kritisch | RCE | nein | nein |
| CVE-2023-29357 | SharePoint | kritisch | EoP | nein | nein |
RCE: Remote Code Execution
DoS: Denial of Service
Browser-Updates
Das jüngste Sicherheits-Update für Edge ist die Version 114.0.1823.41 vom 6. Juni. Sie basiert auf Chromium 114.0.5735.110 und schließt etliche Lücken in der Chromium-Basis, darunter die 0-Day-Lücke CVE-2023-3079. Das Update auf Edge 114.0.1823.43 vom 8. Juni beseitigt lediglich einige Bugs. Das jüngste Chrome-Update vom 13. Juni hat Microsoft noch nicht umgesetzt. Seit dem Wechsel auf Chromium 110 im Februar läuft Edge nicht mehr auf Systemen mit Windows 7 oder 8.x – wie alle Chromium-basierten Browser.
Office-Lücken
In seiner Office-Produktfamilie hat Microsoft 11 Sicherheitslücken geschlossen. Die Sharepoint-Schwachstelle CVE-2023-29357 weist Microsoft als kritisch aus. Sie hat seit dem Hacker-Wettbewerb Pwn2own im März auf diesem Patch gewartet. Die übrigen Office-Lücken sind als hohes Risiko („wichtig“) eingestuft. Fünf davon sind RCE-Lücken (RCE: Remote Code Execution), darunter drei in Excel. Je eine Spoofing-Lücke betrifft Outlook sowie One Note.
Schwachstellen in Windows
Ein großer Anteil der Schwachstellen, in diesem Monat 37, verteilt sich über die verschiedenen Windows-Versionen (10 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und 8.1 werden in den Sicherheitsberichten nicht mehr erwähnt, könnten jedoch anfällig sein. Updates für diese Systeme erhalten selbst ESU-Kunden nicht mehr – nur noch für Windows Server 2008/R2. Soweit die Systemanforderungen das zulassen, sollten Sie auf Windows 10 oder 11 wechseln, um weiterhin Sicherheits-Updates zu erhalten. Windows 10 21H2 hat im Juni letztmalig Updates erhalten, denn es hat sein Support-Ende erreicht.
▶Die neuesten Sicherheits-Updates
Kritische Windows-Lücken
Unter den vier von Microsoft als kritisch ausgewiesenen Windows-Lücken sind drei Schwachstellen im PGM-Protokoll (Pragmatic General Multicast). Ist dieses Protokoll zum Austausch von Nachrichten zwischen Programmen aktiviert, kann ein Angreifer Code einschleusen und ausführen. Es ist bereits der dritte Monat in Folge mit Updates gegen PGM-Lücken. Die vierte kritische Schwachstelle (CVE-2023-32013) ist eine DoS-Lücke (Denial of Service) in Hyper-V.
.NET und Visual Studio
In .NET, .NET Framework und in Visual Studio hat Microsoft mehrere RCE-Lücken beseitigt. Eine davon (CVE-2023-24897) stuft der Hersteller als kritisch ein. Sie kann etwa zum Tragen kommen, wenn ein Benutzer eine speziell präparierte Datei öffnet.
Exchange Server
Im Exchange Server 2016 und 2019 hat Microsoft zwei als hohes Risiko ausgewiesene RCE-Lücken behoben. Die Schwachstelle CVE-2023-32031 schließt an frühere Exchange-Lücken (CVE-2022-41082, CVE-2023-21529) an und umgeht deren Flicken. Ein Angreifer muss ein Konto auf dem Exchange Server besitzen, um sie ausnutzen zu können. Dann kann er Code mit Systemberechtigungen ausführen.
Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Server 2008/R2 abzusichern, erhalten in diesem Monat Updates, die 18 Lücken schließen. Darunter sind drei als kritisch ausgewiesene Sicherheitslücken: die oben erwähnten PGM-Schwachstellen.
Auch im Juni gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 11. Juli.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.