Der zweite Patchday im Jahr 2022 steht an. Wir haben die wichtigsten Infos zusammengefasst. Stellen Sie sich ein heißes Getränk bereit und nehmen Sie sich die Zeit zum Patchen.

Microsoft

Microsoft hat im Februar 51 Patches veröffentlicht, die CVEs in folgenden Programmen beheben: Microsoft Windows und Windows-Komponenten, Azure Data Explorer, Kestrel Web Server, Microsoft Edge (Chromium-basiert), Windows Codecs Library, Microsoft Dynamics, Microsoft Dynamics GP, Microsoft Office und Office-Komponenten, Windows Hyper V Server, SQL Server, Visual Studio Code und Microsoft Teams. Zusammen mit den Anfang Februar veröffentlichten CVEs von Microsoft Edge (Chromium-basiert), beläuft sich die Gesamtzahl im Februar auf 70. Keiner der Patches wurde als kritisch eingestuft oder als aktiv ausgenutzt aufgeführt.

• CVE-2022-21989 - Windows Kernel Elevation of Privilege Vulnerability: Dieser Patch wird als öffentlich bekannt aufgeführt. Ein  Angriff könnte von einem AppContainer mit niedrigen Privilegien durchgeführt werden. Bei Erfolg können Angreifer:innen ihre Privilegien erhöhen und Code ausführen oder auf Ressourcen auf einer höheren Integritätsebene als der der AppContainer-Ausführungsumgebung zugreifen.
• ‍CVE-2022-21984 – Windows DNS Server Remote Code Execution Vulnerability: Der Patch behebt einen Fehler in der Remotecodeausführung im Microsoft-DNS-Server. Nur wenn dynamische Updates aktiviert sind, ist der Server betroffen. Angreifer können den DNS vollständig übernehmen und Code mit erhöhten Rechten ausführen.
• CVE-2022-23280 – Microsoft Outlook for Mac Security Feature Bypass Vulnerability: Durch diesen Fehler kann es dazu kommen, dass Bilder automatisch im Vorschaufenster angezeigt werden, auf bei Deaktivierung dieser Option. Bei Ausnutzung werden nur die IP-Informationen des Ziels aufgedeckt. Gepaart mit einem zweiten Fehler, welcher sich auf die Bildwiedergabe auswirkt, kann Remotecodeausführung ermöglicht werden.
• CVE-2022-21995 – Windows Hyper-V Remote Code Execution Vulnerability: Durch diesen Patch wird ein Guest-to-Host Escape in Hyper-V Server behoben. Die CVSS-Exploit-Komplexität wird von Microsoft als hoch eingestuft.
• CVE-2022-22005 – Microsoft SharePoint Server Remote Code Execution Vulnerability: Ein Fehler im SharePoint Server wird von diesem Patch behoben. Authentifizierte Benutzer könnten beliebigen .NET-Code auf dem Server im Kontext und mit den Berechtigungen des Dienstkontos der SharePoint-Webanwendung ausführen.

Alle CVEs und weitere Informationen stellen die Zero Day Initiative und das Microsoft Security Response Center (MSRC) zur Verfügung.

Adobe

Adobe veröffentlichte im Februar fünf Bulletins, die 17 Sicherheitslücken in den Programmen Adobe Illustrator, Creative Cloud Desktop, After Effects, Photoshop und Premiere Rush beheben. Keiner der von Adobe behobenen Fehler im Februar ist zum Zeitpunkt der Veröffentlichung öffentlich bekannt oder wird aktiv angegriffen.

• ‍APSB22-06 : Security update available for Adobe Premiere Rush: Der als mäßig eingestufte Patch behebt einen Fehler beim Parsen von JPEG-Bildern. Durch das Fehlen einer ordnungsgemäßen Validierung der Daten vom Benutzer, könnte ein Lesevorgang über das Ende eines zugewiesenen Puffers hinausgehen.
• ‍APSB22-07 : Security update available for Adobe Illustrator: Dieses Update behebt insgesamt 13 Fehler. Der schwerwiegendste könnte die Ausführung von beliebigem Code durch einen Pufferüberlauf oder einen Out-Of-Bounds (OOB) Write ermöglichen.
• ‍APSB22-08 : Security update available for Adobe Photoshop: Auch der Patch von Photoshop ist als kritisch eingestuft und behebt einen Pufferüberlauf, der die Ausführung von Code ermöglichen könnte.
• ‍APSB22-09 : Security update available for Adobe After Effects: Der ebenfalls als kritisch eingestufte Patch für After Effects behebt einen OOB-Schreibfehler, der beim Parsen von 3GP-Dateien auftritt. Es kann zu einem Schreibvorgang über das Ende einer zugewiesenen Struktur hinaus führen, resultierend aus dem Fehlen einer ordnungsgemäßen Validierung der Dateien des Benutzers.
• ‍‍APSB22-11 : Security update available for Adobe Creative Cloud Desktop: Dieser Patch behebt einen einzigen kritischen Fehler bei der Codeausführung.

Alle wichtigen Informationen zu den Sicherheitslücken und die nötigen Downloads stellt das Product Security Incident Resonse Team (PSIRT) von Adobe bereit.

SAP

Von SAP wurden im Februar 13 neue Sicherheitshinweise veröffentlicht. 1 Sicherheitshinweis wurde out-of-band veröffentlicht und es gab fünf Aktualisierungen von bereits zuvor veröffentlichten Sicherheitshinweisen.

Von den 13 Sicherheitshinweisen wurden acht als kritisch eingestuft:

• 3123396[CVE-2022-22536] Request smuggling and request concatenation in SAP NetWeaver, SAP Content Server and SAP Web Dispatcher                   
  Product - SAP Web Dispatcher, Versions - 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87
  Product - SAP Content Server, Version - 7.53
  Product - SAP NetWeaver and ABAP Platform, Versions - KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49
• 3142773[CVE-2021-44228] Remote Code Execution vulnerability associated with Apache Log4j 2 component used in SAP Commerce
  Related CVEs - CVE-2021-45046, CVE-2021-45105, CVE-2021-44832
  Product - SAP Commerce, Versions - 1905, 2005, 2105, 2011
• 3130920Remote Code Execution vulnerability associated with Apache Log4j 2 component used in SAP Data Intelligence 3 (on-premise)
  Related CVEs - CVE-2021-44228, CVE-2021-45046, CVE-2021-45105
  Product - SAP Data Intelligence, Version - 3
• 3132922Update to Security Note released in December 2021:
  [CVE-2021-44228] Remote Code Execution vulnerability associated with Apache Log4j 2 component used in Internet of Things Edge Platform
  Related CVEs -  CVE-2021-45105, CVE-2021-45046 , CVE-2021-44832
  Product - Internet of Things Edge Platform, Version - 4.0
• 3133772Update to Security Note released in December 2021:
  [CVE-2021-44228] Remote Code Execution vulnerability associated with Apache Log4j 2 component used in SAP Customer Checkout
  Related CVEs - CVE-2021-45046, CVE-2021-45105
  Product - SAP Customer Checkout, Version - 2
• 3131047Update to Security Note released in December 2021:
  [CVE-2021-44228] Central Security Note for Remote Code Execution vulnerability associated with Apache Log4j 2 component
• 2622660Update to Security Note released on April 2018 Patch Day:
  Security updates for the browser control Google Chromium delivered with SAP Business Client
  Product – SAP Business Client, Version – 6.5
• 3140940[CVE-2022-22544] Missing segregation of duties in SAP Solution Manager Diagnostics Root Cause Analysis Tools
  Product - SAP Solution Manager (Diagnostics Root Cause Analysis Tools), Version - 720

Das SAP Product Security Response Team stellt alle Informationen zu diesen und weiteren Sicherheitshinweisen bereit.

Nächster Patchday ist am 08.03.2022. Bis dahin bleiben Sie sicher und gesund!