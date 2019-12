Frank Ziemann

Beim letzten Update-Dienstag des Jahres hat Microsoft insgesamt 36 Schwachstellen beseitigt. Darunter ist auch eine 0-Day-Lücke in Windows.

Vergrößern Patch Day Dezember 2019

Die im Dezember bereitgestellten Updates beheben insgesamt 36 Sicherheitslücken. Darunter sind sieben Lücken, die Microsoft als kritisch einstuft. Diese betreffen Windows, Hyper-V und Git für Visual Studio. Die die übrigen Lücken stuft Microsoft bis auf eine als hohes Risiko ein. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI und Bleeping Computer das Thema Patch Day auf.

Internet Explorer (IE)

Das neue kumulative Sicherheits-Update (4530677) für den Internet Explorer 9 bis 11 beseitigt lediglich eine Schwachstelle in dem betagten Browser. Microsoft stuft sie nur als wichtig ein. Sie basiert auf VBScript und kann mittels präparierter Web-Seiten genutzt werden, um Code einzuschleusen und mit Benutzerrechten auszuführen. Auch ein Angriffsszenario über ActiveX in Office-Dokumenten ist denkbar.

Edge

Für den Browser Edge hat Microsoft im Dezember keine Sicherheits-Updates veröffentlicht. Nach derzeitigem Stand will Microsoft am 15. Januar 2020, einen Tag nach dem nächsten Patch Day, den Browser mit Microsoft-eigenem HTML-Renderer durch Edge auf Chromium-Basis ersetzen.



Office

Für seine Office-Familie liefert Microsoft im Dezember Updates gegen fünf Sicherheitslücken aus. Microsoft stuft keine dieser Lücken als kritisch ein. Jedoch ermöglicht eine Powerpoint-Schwachstelle (CVE-2019-1462) Angriffe mit präparierten Dokumenten, um Code einzuschleusen. Microsoft stuft sie nur als wichtig ein. Sie betrifft neben Powerpoint 2010 und neuer auch Office 2019, Office 365 ProPlus sowie Office 2016 und 2019 für Mac.



Windows

Der überwiegende Teil der Schwachstellen, 20 Lücken, verteilt sich über die verschiedenen Windows-Versionen, für die Microsoft noch Sicherheits-Updates anbietet. Denken Sie daran, dass es am 14. Januar die letzten Sicherheits-Updates für Windows 7 sowie Server 2008 und 2008 R2 geben wird. Windows 10 Version 1803 sowie Windows Server Version 1803 erhalten bereits keine Updates mehr. Windows 10 Version 1809 wird noch bis zum 12. Mai 2020 unterstützt. Rechner, auf denen noch diese Version läuft, werden nach und nach automatisch auf Windows 10 1909 aktualisiert.



Microsoft stuft zwei Windows-Lücken als kritisch ein. Eine dieser Lücken (CVE-2019-1468) betrifft einmal mehr den Umgang der Windows Schriftenbibliothek mit präparierten eingebetteten Fonts. Dies betrifft alle Windows-Versionen. Nicht als kritisch gilt Microsoft hingegen die Schwachstelle CVE-2019-1458 im Windows-Kernel (Win32k). Ein angemeldeter Benutzer könnte sich höhere Rechte verschaffen und beliebigen Code im Kernel-Modus ausführen. Die Lücke betrifft alle Windows-Version bis einschließlich Windows 10 Version 1607 und Server 2016. Die durch Kaspersky Lab entdeckte und gemeldete Schwachstelle wird bereits bei Angriffen (in Kombination mit anderen Lücken) ausgenutzt.



Microsofts Virtualisierungslösung Hyper-V weist zwei Schwachstellen auf, von denen der Hersteller eine (CVE-2019-1471) als kritisch einstuft. Das bedeutet, Programme im Gastsystem könnten die Lücken ausnutzen, um beliebigen Code auf dem Hostsystem auszuführen.



Git für Visual Studio

In Git für Visual Studio schließt Microsoft fünf der sieben insgesamt beim Update-Dienstag behandelten kritischen Sicherheitslücken. Alle fünf Lücken sind im Grunde identisch. Ein Angreifer könnte eingeschleusten Code ausführen und die Kontrolle über das System übernehmen, wenn er einen Benutzer dazu bringen kann, ein entsprechend präpariertes Repository zu klonen.



Flash Player

Adobe hat am 10. Dezember kein Update für den integrierten Flash Player bereitgestellt.



Schließlich gibt es, wie in fast jedem Monat, auch im Dezember das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 14. Januar 2020.