Patchday: Aktuelle Updates von Microsoft beugen Angriffen aus der Ferne vor
Aktive Angriffe auf die zum Patch Tuesday beseitigten, teils kritischen Sicherheitslücken wurden bislang nicht beobachtet. Zügig updaten sollte man dennoch.
(Bild: Shutterstock / heise online (Collage))
Zum Patch Tuesday im Oktober hat Microsoft insgesamt 87 Sicherheitslücken geschlossen. 11 gelten als kritisch, die Risikoeinstufung der übrigen ist (mit einer "Moderate"-Ausnahme) durchweg hoch.
Updates gibt es für Windows, aber auch für Azure, Dynamics, Exchange Server, die JET Database Engine, das .NET Framework, Office nebst Komponenten, diverse in die Produkte integrierte Open Source Software, PowerShellGet, Visual Studio und die Windows Codecs Library. Auch aus Adobes Flash Player (ausgeliefert mit diversen Windows-Versionen) wurde eine Sicherheitslücke entfernt, die wir in einer separaten Meldung thematisieren.
Über aktive Angriffe auf die beseitigten Sicherheitslücken ist nichts bekannt, allerdings gibt es im Falle mehrerer Lücken mit Important-Einstufung bereits öffentlich verfügbaren Exploit-Code. Wie immer ist es ratsam sicherzustellen, dass die Updates je nach Systemkonfiguration zeitnah automatisch (etwa via Windows Update) oder manuell installiert werden.
Angriffe aus der Ferne vielfach möglich
Die 11 als kritisch eingestuften Lücken sind durchweg aus der Ferne ausnutzbar. Angreifer könnten etwa schädlichen Programmcode auf verwundbaren Systemen ausführen und diese in einigen Fällen auch vollständig übernehmen. Dazu ist mitunter allerdings eine Nutzerinteraktion wie etwa der Besuch einer präparierten Website oder das Öffnen eines schädlichen Dokuments notwendig. Microsofts Advisories zu den kritischen Lücken haben wir hier aufgelistet:
- CVE-2020-16911 | GDI+ RCE
- CVE-2020-16915 | Media Foundation Memory Corruption
- CVE-2020-16923 | Microsoft Graphics Components RCE
- CVE-2020-16947 | Microsoft Outlook RCE
- CVE-2020-16951 | Microsoft SharePoint RCE
- CVE-2020-16952 | Microsoft SharePoint RCE
- CVE-2020-16967 | Windows Camera Codec Pack RCE
- CVE-2020-16968 | Windows Camera Codec Pack RCE
- CVE-2020-16891 | Windows Hyper-V RCE
- CVE-2020-16898 | Windows TCP/IP RCE
- CVE-2020-17003 | Base3D RCE
Weitere Informationen
Einen (filterbaren) Gesamtüberblick über die verfügbaren Updates liefert Microsofts Security Update Guide. Außerdem empfiehlt sich ein Blick in Microsofts Release Notes zu den October 2020 Security Updates. Darin listet das Unternehmen Security Advisories zu Updates auf, bei denen teilweise zusätzliche Schritte notwendig sind oder anderweitige Zusatzinformationen bereitstehen. Außerdem gibt es eine Übersicht über bereits bekannte Probleme mit einzelnen Updates. In den Release Notes betont Microsoft auch die Wichtigkeit regelmäßiger Stack Servicing Updates (SSU), um Update-Problemen vorzubeugen.
- Microsoft Security Update Guide
- Release Notes: October 2020 Security Updates
- ADV990001 | Latest Servicing Stack Updates
Update 14.10.20 14:12:
Ein aktueller Blogeintrag des Sicherheitssoftware-Herstellers Sophos befasst sich näher mit der kritischen Sicherheitslücke CVE-2020-16898. Der Hersteller demonstriert im Video einen selbst entwickelten Proof-of-Concept-Angriff, in dem über die Lücke ein "Blue screen of death" verursacht wird. Den Exploit-Code will der Hersteller nicht veröffentlichen, um Angreifern nicht in die Hände zu spielen; allerdings verdeutlicht das Video die grundsätzliche "Exploitbarkeit" und die Dringlichkeit eines zeitnahen Updates.
(ovw)