Patchday: Microsoft schließt Kernel-Lücke in Windows
Es sind über 100 Sicherheitsupdates für Microsoft Office, Windows & Co. erschienen. Eine Lücke nutzen Angreifer derzeit aktiv aus.
Am Patchday im November kümmert sich Microsoft unter anderem um Defender, Internet Explorer, Teams und Windows. Insgesamt sind 112 Sicherheitspatches über Windows Update verfügbar. 17 Lücken sind mit dem Bedrohungsgrad "kritisch" eingestuft. Der Großteil der verbleibenden Schwachstellen ist mit der Einstufung "wichtig" versehen.
Attacken auf Windows
Nun ist ein Patch für die seit Ende Oktober ausgenutzte Kernel-Lücke (CVE-2020-17087) verfügbar. Die Lücke gilt aber nicht als kritisch, da Angreifer bereits Zugriff auf verwundbare Computer haben müssen. Ist das gegeben, könnten sich Angreifer höhere Nutzerrechte aneignen. Davon sind Windows 7 bis 10 und verschiedene Windows-Server-Versionen betroffen.
Weitere Details zu dieser und weiteren Schwachstellen sind nicht bekannt. Wie aus der Warnmeldung hervorgeht, hat Microsoft die Darstellung überarbeitet und beschreibt ab sofort keine detaillierten Einzelheiten mehr zu Lücken und möglichen Angriffsszenarien.
Noch mehr Schwachstellen
Als kritisch gilt beispielsweise eine Lücke im Network File System (NFS) von Windows. Aufgrund der Einstufung ist davon auszugehen, dass Attacken aus der Ferne und ohne Authentifizierung möglich sind.
Außerdem könnten Angreifer die Videocodec-Erweiterungen AV1 und HEVC als Ansatzpunkt für Remote-Code-Execution-Attacken ausnutzen. Auch eine Schwachstelle in Teams könnte Schadcode auf Computer lassen.
Weniger ist mehr?
In einem Blog-Beitrag begründet Microsoft die angepasste Beschreibung von Sicherheitslücken damit, dass die Beschreibung des Bedrohungsgrades einer Lücke mithilfe des Common Vulnerability Scoring System (CVSS) für Admins mehr handfeste Infos hergibt. So listet Microsoft nun neben der Einstufung einer Sicherheitslücke auch die einzelnen Parameter auf, aus denn sich eine CVSS-Einstufung zusammensetzt. So sieht man etwa auf den ersten Blick, ob Attacken aus der Ferne möglich sind und ob ein Opfer mitspielen muss oder nicht.
Intel-CPU-Lücke
Außerdem hat Microsoft Microcode-Updates gegen die Intel-CPU-Lücke Playtypus veröffentlicht.
- Windows 10 Version 2004 und 20H2 und Windows Server 2004 und 20H2
- Windows 10 version 1903 und 1909 und Windows Server Version 1903 und 1909
- Windows 10 Version 1809 und Windows Server 2019
- Windows 10 Version 1803
- Windows 10 Version 1607 und Windows Server 2016
- Windows 10 Version 1507
[UPDATE, 11.11.2020 10:10 Uhr]
Hinweis zu Microcode-Updates in Fließtext eingebaut.
(des)