Beim Patch Day am 11. Juli hat Microsoft etliche Updates bereitgestellt, um 130 Schwachstellen zu beheben – so viele, wie schon lange nicht mehr. Microsoft stuft neun Sicherheitslücken als kritisch ein und weist den Rest als hohes Risiko aus. Die kritischen Lücken betreffen Windows und Sharepoint, die 0-Day-Lücken stecken in Windows und Office.
Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.
Die wichtigsten Sicherheitslücken beim Patch Day im Juli
| CVE | anfällig | Schweregrad | Auswirkung | Angriffe | vorab bekannt |
|---|---|---|---|---|---|
| CVE-2023-36884 | Office, Windows | hoch | RCE | ja | ja |
| CVE-2023-35311 | Outlook | hoch | SFB | ja | nein |
| CVE-2023-36874 | Windows (Fehlerbericht) | hoch | EoP | ja | nein |
| CVE-2023-32046 | Windows (MSHTML) | hoch | EoP | ja | nein |
| CVE-2023-32015 | Windows (Smartscreen) | hoch | SFB | ja | nein |
| CVE-2023-29357 | Windows (Message Queue) | kritisch | RCE | nein | nein |
| CVE-2023-33157, -33160 | SharePoint | kritisch | RCE | nein | nein |
| CVE-2023-35365, -66, -67 | Windows (RRAS) | kritisch | RCE | nein | nein |
Browser-Updates
Das jüngste Sicherheits-Update für Edge ist die Version 114.0.1823.67 vom 29. Juni. Sie basiert auf Chromium 114.0.5735.201 und schließt etliche Lücken in der Chromium-Basis. Das Update auf Edge 114.0.1823.79 vom 10. Juli beseitigt lediglich einige Bugs. Seit dem Wechsel auf Chromium 110 im Februar läuft Edge nicht mehr auf Systemen mit Windows 7 oder 8.x – wie alle Chromium-basierten Browser.
Office-Lücken, teils ohne Patch
Für seine Office-Produktfamilie hat Microsoft 16 Sicherheitslücken dokumentiert. Darunter sind zwei als kritisch eingestufte RCE-Lücken (RCE: Remote Code Execution) in Sharepoint. Die Schwachstelle CVE-2023-36884 betrifft Windows und Office. Sie wird bereits für (laut Microsoft „gezielte“) Angriffe ausgenutzt, bei denen die Täter mit präparierten Office-Dokumenten Code einschleusen. Die Lücke klafft auch nach diesem Patch Day, denn ein Update, um die Fehlerursache zu beseitigen, hat Microsoft noch nicht zu bieten. Das will Microsoft nach Abschluss der Analysen nachreichen, entweder erst beim nächsten Patch Day im August oder schon früher, außerhalb des üblichen Turnus.
Eine weitere 0-Day-Lücke (CVE-2023-35311) betrifft Outlook. Die Angreifer nutzen sie aus, um potenzielle Opfer mit präparierten Mails dazu zu verleiten einen enthaltenen Link anzuklicken. An sich sollte Outlook daraufhin eine Warnung anzeigen, doch genau die unterbleibt in diesen Fällen. Um daraus Nutzen zu ziehen, müssen die Täter diese Schwachstelle mit einer weiteren kombinieren.
Abgesehen von den als kritisch ausgewiesenen Sharepoint-Lücken (CVE-2023-33157, CVE-2023-33160) weist Microsoft die Office-Lücken als hohes Risiko („wichtig“) aus. Sieben weitere sind RCE-Lücken, etwa in Access, Excel sowie nochmals Sharepoint und Outlook.
Schwachstellen in Windows
Ein großer Anteil der Schwachstellen, in diesem Monat 102, verteilt sich über die verschiedenen Windows-Versionen (10 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und 8.1 werden in den Sicherheitsberichten nicht mehr erwähnt, könnten jedoch anfällig sein. Soweit die Systemanforderungen das zulassen, sollten Sie auf Windows 10 oder 11 wechseln, um weiterhin Sicherheits-Updates zu bekommen. Windows 10 21H2 hat im Juni letztmalig Updates erhalten.
▶Die neuesten Sicherheits-Updates
Windows unter Beschuss
Neben den beiden 0-Days in Office hat auch Windows Schwachstellen, die bereits ausgenutzt werden. Da es dabei sich nicht um RCE-Lücken handelt, dürften Angreifer diese Anfälligkeiten mit anderen Sicherheitslücken kombinieren, um ans Ziel zu gelangen. Die Lücken im Dienst für die Fehlerberichterstattung (CVE-2023-36874) sowie in der MSHTML-Plattform (CVE-2023-32046) ermöglichen es einem Angreifer, sich höhere Berechtigungen zu verschaffen. Ähnlich wie die Outlook-Lücke versetzt die Schwachstelle CVE-2023-32049 im Smartscreen-Filter einen Angreifer in die Lage, eine eigentlich fällige Warnung beim Öffnen eines Links zu vermeiden.
Kritische Windows-Lücken
Von den sieben von Microsoft als kritisch ausgewiesenen Windows-Lücken entfallen drei auf den RRAS-Dienst (Routing and Remote Access Service) und haben Wurm-Potenzial. Je eine Lücke steckt im Message Queuing und im Pragmatic General Multicast (PGM). Es ist bereits der vierte Monat in Folge mit Updates gegen PGM-Lücken. Die Schwachstelle CVE-2023-35352 in Remote Desktop ist eine so genannte SFB-Lücke (Security Feature Bypass). Ein Angreifer könnte eine Remote-Session starten, ohne sich authentifizieren zu müssen. Diese Lücke könnte ins Waffenarsenal der Ransomware-Banden wandern.
Weitere Schwachstellen in Windows und seinen Apps
Microsofts Postscript- und PCL-Druckertreiber sind offenbar ein beständiger Quell neuer Sicherheitslücken. Bereits seit Monaten stopft der Hersteller weitere Lücken, im Juli wieder deren sieben. In Paint 3D hat Microsoft zwei RCE-Lücken geschlossen. Updates für die App (v6.2305.16087.0 oder neuer) liefert der Microsoft Store meist automatisch. Eine ebensolche Lücke steckt in der Erweiterung für RAW-Fotos.
Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Server 2008/R2 abzusichern, erhalten in diesem Monat Updates, die 55 Lücken schließen. Darunter sind fünf als kritisch ausgewiesene Sicherheitslücken, etwa die oben erwähnten RRAS-Schwachstellen. Auch Patches für die 0-Day-Lücken CVE-2023-32046 und CVE-2023-36874 sind dabei.
Auch im Juli gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 8. August.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.