Beim Patch Day am 8. August hat Microsoft etliche Updates bereitgestellt, um 74 neu entdeckte Schwachstellen zu beheben. Microsoft stuft sechs Sicherheitslücken als kritisch ein und weist den Rest als hohes Risiko aus. Die kritischen Lücken betreffen Windows und Office, neue 0-Day-Lücken sind nicht dabei.
Die wichtigsten Sicherheitslücken beim Patch Day im August
| CVE | anfällige Software | Schwere-grad | Auswirkung | ausgenutzt | vorab bekannt |
|---|---|---|---|---|---|
| CVE-2023-36884 (Juli 2023) | Office, Windows | hoch | RCE | ja | ja |
| CVE-2023-36895 | Outlook | kritisch | RCE | nein | nein |
| CVE-2023-29328, -29330 | Teams | kritisch | RCE | nein | nein |
| CVE-2023-29385, -36910, -36911 | Windows (Message Queue) | kritisch | RCE | nein | nein |
| CVE-2023-38181 | Exchange Server | hoch | Spoofing | nein | nein |
| CVE-2023-21709 | Exchange Server | hoch | EoP | nein | nein |
RCE: Remote Code Execution
Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.
Browser-Updates
Das jüngste Sicherheits-Update für Edge ist die Version 115.0.1901.200 vom 7. August. Sie basiert auf Chromium 115.0.5790.171 und schließt etliche Lücken in der Chromium-Basis. Außerdem hat Microsoft eine Edge-spezifische Schwachstelle (CVE-2023-38157) beseitigt. Seit dem Wechsel auf Chromium 110 im Februar läuft Edge nicht mehr auf Systemen mit Windows 7 oder 8.x – wie alle Chromium-basierten Browser.
Office-Lücken
Für seine Office-Produktfamilie hat Microsoft 14 Sicherheitslücken dokumentiert. Darunter sind drei als kritisch eingestufte RCE-Lücken (RCE: Remote Code Execution): Zwei betreffen Teams (CVE-2023-29328, -29330) und eine steckt in Outlook (CVE-2023-36895). Fünf weitere RCE-Lücken sind als hohes Risiko ausgewiesen und betreffen etwa Excel sowie Visio.
Die bereits beim Update-Dienstag im Juli gemeldete Schwachstelle CVE-2023-36884 betrifft Windows und Office. Sie wird bereits für (laut Microsoft „gezielte“) Angriffe ausgenutzt, bei denen die Täter mit präparierten Office-Dokumenten Code einschleusen. Erst jetzt stellt Microsoft die entsprechenden Updates bereit, um die Lücke zu schließen. Bis dato gab es lediglich eine Sicherheitsempfehlung (ADV230003), um den genutzten Angriffsvektor zu blockieren.
Schwachstellen in Windows
Etwa die Hälfte der Schwachstellen verteilt sich über die verschiedenen Windows-Versionen (10 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und 8.1 werden zwar in den Sicherheitsberichten nicht mehr erwähnt, könnten jedoch anfällig sein. Soweit die Systemanforderungen das zulassen, sollten Sie auf Windows 10 (22H2) oder 11 wechseln, um weiterhin Sicherheits-Updates zu bekommen. Windows 10 21H2 hat im Juni letztmalig Updates erhalten.
▶Die neuesten Sicherheits-Updates
Kritische Windows-Lücken
Alle drei von Microsoft als kritisch ausgewiesenen Windows-Lücken stecken im Message Queuing Dienst (MSMQ). Im MSMQ hat Microsoft in diesem Monat insgesamt elf Schwachstellen behoben. Während es sich bei den drei als kritisch eingestuften Schwachstellen um RCE-Lücken handelt, sind die übrigen DoS-Lücken (Denial of Service) oder Datenlecks.
Weitere Schwachstellen in Windows und seinen Apps
Als hohes Risiko eingestufte RCE-Lücken hat Microsoft im Faxdienst, im Lightweight Directory Access Protocol (LDAP), in .NET Core, in Datenbankschnittstellen (OLE DB), in der Windows Benutzeroberfläche für Tablets sowie in der Erweiterung für HEVC-Videos (H.265) geschlossen.
Schutz vor AMD Zenbleed
In AMD-Prozessoren aus der Zen-2-Generation hat Tavis Ormandy (Google Project Zero) kürzlich eine Schwachstelle entdeckt, die zur Offenlegung sensibler Daten aus Prozessorregistern genutzt werden kann. Ormandy hat die Sicherheitslücke CVE-2023-20569 auf den Namen „Zenbleed“ getauft. Microsoft liefert mit den August-Updates Maßnahmen zur Risikominderung aus, die aus Registry-Änderungen bestehen. Sie können unter Umständen zu Leistungseinbußen führen.
Nachbesserung beim Exchange Server
Microsoft liefert im August Updates gegen sechs Sicherheitslücken in Exchange Server aus. Der Patch gegen CVE-2023-38181 ist bereits Microsofts vierter Anlauf, die 0-Day-Lücke CVE-2022-41082 aus dem Herbst 2022 abzudichten. Immer wieder modifizieren Hacker den Exploit-Code, um die jeweiligen Schutzmaßnahmen zu umgehen. Die Sicherheitslücke CVE-2023-21709 erlaubt es einem nicht angemeldeten Angreifer, sich als anderer Benutzer einzuloggen. Damit werden Exploits für andere Exchange-Lücken leichter nutzbar, für die eine Benutzeranmeldung erforderlich ist.
Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Server 2008/R2 abzusichern, erhalten in diesem Monat Updates, die 25 Lücken schließen. Darunter sind die oben erwähnten drei als kritisch ausgewiesenen Sicherheitslücken in MSMQ. Auch die Risikominderungen für die Zenbleed-Lücke sind dabei.
Auch im August gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 12. September.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.