Microsoft patcht teils kritische Lücken außer der Reihe
Microsoft hat Sicherheitslecks in mehreren Produkten geschlossen. Einige Updates müssen Nutzer installieren.
Microsoft hat in der Nacht zum Mittwoch vier Sicherheitsmitteilungen veröffentlicht. Sie behandeln teils kritische Schwachstellen, für die Microsofts Entwickler Updates bereitstellen. Einige müssen Nutzerinnen und Nutzer selbst installieren, andere hat Microsoft auf Cloud-Diensten bereits selbst verteilt.
Eine kritische Sicherheitslücke betrifft Microsofts Copilot Studio. Sie erlaubte es Angreifern, ihre Rechte auszuweiten (CVE-2024-49038, CVSS 9.3, Risiko "kritisch"). Ursächlich ist eine unzureichende Filterung von Nutzereingaben während der Webseitenerstellung, Microsoft ordnet die Lücke unter Cross-Site-Scripting ein. Nicht autorisierte Angreifer aus dem Netz können dadurch ihre Rechte ausweiten. Kunden müssen keine Maßnahmen ergreifen, um das Problem zu korrigieren.
Eine Lücke wurde bereits missbraucht
Eine Schwachstelle im "partner.microsoft.com"-Angebot wurde bereits missbraucht, erklärt Microsoft im Schwachstelleneintrag. Angreifer aus dem Netz können ohne vorherige Authentifizierung ihre Rechte erhöhen, da Zugriffsrechte nicht korrekt umgesetzt wurden (CVE-2024-49035, CVSS 8.7, hoch). Konkret gab es das Problem in der Online-Version der Microsoft Power Apps. Abweichend von der CVSS-Einstufung ordnet Microsoft die Lücke jedoch als kritisch ein. Auch hier müssen Kunden nichts weiter machen, Microsoft hat das Problem serverseitig gelöst.
In Microsoft Azure PolicyWatch konnten Angreifer aus dem Netz ohne Autorisierung ihre Rechte erhöhen, da einer nicht näher genannten, kritischen Funktion eine Authentifizierung schlicht fehlte (CVE-2024-49052, CVSS 8.2, hoch). Auch hier stufen Microsofts Entwickler das Risiko abweichend als kritisch ein. Immerhin müssen Kunden nichts weiter tun, die Korrekturen erfolgen serverseitig durch Microsoft.
Die vierte Sicherheitslücke betrifft Microsofts Business-Software Dynamics 365 Sales. Angreifer können eine Spoofing-Lücke darin missbrauchen. Die FAQ der Sicherheitsmeldung von Microsoft erklärt, dass authentifizierte Angreifer Opfern manipulierte Links unterschieben können, um sie etwa auf bösartige Webseiten umzuleiten. Die Lücke ist auf dem Webserver, bösartige Skripte laufen jedoch im Browser der Opfer, auf deren Maschine – die Zusammenfassung lautet daher auch, dass sich eine unzureichende Filterung von Nutzereingaben bei der Webseitenerstellung zu Cross-Site-Scripting missbrauchen lässt (CVE-2024-49053, CVSS 7.6, hoch). Die Apps Dynamics 365 Sales für iOS und Dynamics 365 Sales für Android sind ab Version 3.24104.15 nicht mehr anfällig; Nutzer sollten gegebenenfalls in den Stores der jeweiligen Smartphone-Betriebssysteme nach Aktualisierungen suchen lassen.
Der reguläre Patchday fand in der Nacht zum 13. November statt, der kommende in der Nacht zum 11. Dezember. Die Sicherheitsupdates hat Microsoft offenbar als so dringend eingestuft, dass das Unternehmen sie jetzt außerhalb des regulären Zeitplans angewendet und veröffentlicht hat.
(dmk)