2532609

Microsoft schließt 27 Office-Lücken

09.09.2020 | 09:48 Uhr | Frank Ziemann

Beim Update-Dienstag im September hat Microsoft 129 Sicherheitslücken geschlossen. Darunter sind 23 Schwachstellen, die Microsoft als kritisch einstuft.

Mit 129 gestopften Lücken im September schließt Microsoft zum siebten Mal in Folge und zum achten Mal in diesem Jahr mehr als 100 Sicherheitslücken in einem Monat. Die Redmonder stellen damit ihren Patch-Rekord aus dem Juni ein. Mit bislang 991 in diesem Jahr gestopften Lücken ist die 1000er-Marke nicht mehr weit. Die 23 als kritisch ausgewiesenen Sicherheitslücken betreffen Windows, den Internet Explorer, Edge (EdgeHTML), Office, Visual Studio, Exchange sowie Dynamics 365. Die übrigen Lücken stuft Microsoft bis auf eine als hohes Risiko ein. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI das Thema Patch Day auf.

Zum exklusiven Angebot: Windows 10 Pro für nur 39,99 Euro

Internet Explorer (IE)
Das neue kumulative Sicherheits-Update (4577010) für den Internet Explorer 11 beseitigt drei Schwachstellen in der Browser-Altlast, deren Ende inzwischen absehbar ist. Microsoft stuft eine der Lücken (CVE-2020-0878) als kritisch ein. Sie betrifft auch Edge (EdgeHTML).
Seit 11. Februar 2020 liefert Microsoft nur noch Updates für den IE 11. Wer Windows Server 2012 oder Windows Embedded 8 einsetzt, kann ein Update installieren, das den IE 10 auf Version 11 bringt, um weiterhin Sicherheits-Updates zu erhalten.

Edge
Im IE-Nachfolger Edge (EdgeHTML-basiert) hat Microsoft im September vier Sicherheitslücken beseitigt. Drei der Lücken stuft Microsoft als kritisch ein. Die neue Generation Edge (Chromium-basiert) erhält Sicherheits-Updates normalerweise außerhalb des Update-Dienstags über die im Browser integrierte Aktualisierungsfunktion. Diesmal gibt es auch ein Patch-Day-Update, das Edge-Chromium betrifft. Es beseitigt eine Schwachstelle im Windows-Textdienstmodul, die über Edge ausgenutzt werden könnte. Bereits in Edge 85.0.564.44, veröffentlicht am 31. August, hat Microsoft eine Lücke im Plug-in „IEToEdge Browser Helper Object“ (BHO) geschlossen. Dieses Plug-in soll eine im IE geöffnete Webseite an Edge-Chromium weiterreichen, wenn sie im IE nicht richtig funktioniert.

Office
In seiner Office-Produktfamilie hat Microsoft in diesem Monat 27 Sicherheitslücken beseitigt. Microsoft weist sieben dieser Schwachstellen als kritisch aus. Alle sieben stecken in Sharepoint, nur bei einer davon (CVE-2020-1460) ist eine Benutzeranmeldung nötig, um sie auszunutzen. Vier Excel- und zwei Word-Schwachstellen ermöglichen es, mit speziell präparierten Office-Dokumenten Code einzuschleusen und auszuführen. Microsoft weist solche Lücken meist nicht als kritisch aus.

Windows
Der überwiegende Teil der Schwachstellen, 78 Lücken, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen.

Microsoft stuft neun Windows-Lücken als kritisch ein. Zwei dieser Schwachstellen (CVE-2020-1129, CVE-2020-1319) betreffen die Windows Codec-Bibliothek und können mit speziell präparierten Bild- oder Videodateien ausgenutzt werden. Ähnliche Lücken stopft Microsoft im Camera Codec Pack (CVE-2020-0997) und im Windows Media Audio Decoder (CVE-2020-1508, CVE-2020-1593). Die Schwachstelle CVE-2020-1285 in der Grafikschnittstelle GDI+ geht in die gleiche Richtung.

Exchange Server
Die womöglich gravierendste Sicherheitslücke dieses Monats ist CVE-2020-16875 in Exchange Server 2016 und 2019. Sie ist als kritisch eingestuft. Eine präparierte Mail genügt, um eingeschleusten Code mit Systemberechtigungen auf dem Exchange Server auszuführen. Bislang sind zwar noch keine entsprechenden Attacken bekannt, das könnte sich jedoch bald ändern. Abwarten ist nicht angesagt.

Dynamics 365
Microsofts Business-Software Dynamics 365 weist etliche Sicherheitslücken auf. Zehn davon schließt Microsoft nun, darunter zwei als kritisch eingestufte Lücken (CVE-2020-16857, CVE-2020-16862). Alle Schwachstellen betreffen lokale Installationen (on premise).

SQL Server
Die einzige lediglich als mittleres Risiko ausgewiesene Schwachstelle (CVE-2020-1044) beim Patch Day im September betrifft die Reporting Services (SSRS) in SQL Server 2017 und 2019. Ein angemeldeter Angreifer könnte Sicherheitsmechanismen umgehen und Dateitypen hochladen, die der Administrator nicht zugelassen hat.

Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 40 Lücken schließen. Darunter sind sechs als kritisch ausgewiesene Schwachstellen.

Im September gibt es mal wieder ein neues Windows-Tool zum Entfernen bösartiger Software . Microsoft hatte im Mai angekündigt, nur noch alle drei Monate eine neue Version ausliefern zu wollen. Demnach hätte es an sich bereits im August eine frische Wurmkur geben sollen. Der nächste turnusmäßige Patch Day ist am 13. Oktober.


PC-WELT Marktplatz

2532609