13/8/2020

Patchday August 2020

Sorgen Sie für eine lücklenose Infrastruktur.
Von
Annika Gamerad
Sachbearbeiterin Marketing
und

Seit 2003 veröffentlicht Microsoft an jedem zweiten Dienstag im Monat die neuesten Sicherheitsupdates für die Betriebssysteme Windows und Windows Server sowie für alle übrigen Software-Produkte. Der fixe Zeitpunkt ermöglicht IT-Abteilungen eine effiziente Planung des Patch-Managements, da mehrere Patches mit nur einem Reboot eingespielt werden können.

Insgesamt veröffentlichte Microsoft 120 Schwachstellen; 17 wurden als „kritisch“ eingestuft, 103 als „wichtig“.

Es wurden Sicherheitsupdates für folgende Produkte veröffentlicht:

  • Microsoft Windows
  • Microsoft Edge (EdgeHTML-based)
  • Microsoft Edge (Chromium-based)
  • Microsoft ChakraCore
  • Internet Explorer
  • Microsoft Scripting Engine
  • SQL Server
  • Microsoft JET Database Engine
  • .NET Framework
  • ASP.NET Core
  • Microsoft Office and Microsoft Office Services and Web Apps
  • Microsoft Windows Codecs Library
  • Microsoft Dynamics

Auch kleine Schwachstellen können große Auswirkungen haben!

Laut der Zero Day Initiative gelten die beiden Schwachstellen CVE-2020-1464 und CVE-2020-1380 zum Zeitpunkt der Veröffentlichung als aktiv!

Wird die Windows-Spoofing-Schwachstelle CVE-2020-1464 von einem Angreifer ausgenutzt, könnte er Sicherheitsfunktionen umgehen und so unsachgemäß signierte Dateien laden.

Bei der Schwachstelle CVE-2020-1380 handelt es sich um ein Speicherproblem der Skripting-Engine im Zusammenhang mit dem Internet Explorer. Der Speicher könnte so beschädigt werden, dass ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, die gleichen Benutzerrechte erhält wie der aktuelle Benutzer. Handelt es sich um administrative Benutzerrechte, könnte der Angreifer Programme installieren, Daten verändern und sogar neue Konten mit vollen Benutzerrechten erstellen.

Fünf der 17 kritischen Schwachstellen, die im August veröffentlicht wurden, betreffen die Windows Media Foundation (WMF). Bei dieser handelt es sich um ein Multimedia-Framework und eine Infrastrukturplattform für die Handhabung digitaler Medien in Windows 7-10 Und Windows Server 2008-2019.

  • CVE-2020-1554
  • CVE-2020-1492
  • CVE-2020-1379
  • CVE-2020-1477
  • CVE-2020-1525

Auch als kritisch eingestuft und selten auftretend ist die Schwachstelle CVE-2020-1472. Baut ein Angreifer mithilfe des Netlogon Remote Protocol (MS-NRPC) eine anfällige sichere Netlogon-Kanalverbindung zu einem Domänencontroller auf, liegt eine erhöhte Privilegienanfälligkeit vor. Stellt ein nicht authentifizierter Angreifer über MS-NRPC eine Verbindung zu einem Domänencontroller her, kann er Zugang zu einem Domänenadministrator erhalten. Diese Schwachstelle wird in einem gestaffelten zweiteiligen Rollout behoben.

Abdul-Aziz Hariri, Sicherheitsforscher der Trend Micro Zero Day Initiative, meldete unter anderem die Sicherheitslücke CVE-2020-1585. Bringt ein Angreifer einen Benutzer dazu, eine speziell gestaltete Bilddatei anzusehen - betroffen ist hier der "AV1 Video Extension"-Codec – ermöglicht es dem Angreifer die Ausführung von Code.

Ausführliche Informationen zu den Updates und Empfehlungen für Downloads stehen im Microsoft Security Update Guide zur Verfügung.

Eine Schwachstelle ist eine Sicherheitslücke, die durch Eindringlinge zur Bedrohung werden kann!

Seit 2005 nimmt auch Adobe am Patchday teil. Im August musste Adobe nur für zwei Produkte Updates veröffentlichen. 26 "Lecks" konnten im Adobe Acrobat und Adobe Reader geflickt werden. Davon wurden 11 als kritisch beurteilt. Ausführliche Informationen zu den Updates von Adobe Acrobat und Adobe Reader stehen hier zur Verfügung.

Die Lücken in Adobe Lightroom wurden als wichtig eingestuft und lassen sich hier nachlesen.

Seit 2010 nimmt ebenfalls der Software-Hersteller SAP am Patchday teil. Im August wurden 16 Schwachstellen veröffentlicht - zwei "Hot News", 6 Schwachstellen mit der Einstufung "High" und 8 mit "Medium".

Als "Hot News" eingestuft ist das Update zu NetWeaver, welches gegen eine kritsche Cross-Site-Scripting (XSS) Schwachstelle absichert.

Die Schwachstellen mit der Einstufung "High" betreffen:

  • SAP BusinessObjects
  • SAP Banking Services
  • SAP NetWeaver (ABAP)
  • SAP NetWeaver AS JAVA sowie Knowledge Management
  • SAP Adaptive Server Enterprise

Das Schwachstellen-Management ist ein wichter Teil einer gut funktionierenden Sicherheitsstrategie und erfordert stetige Aufmerksamkeit. Bleiben Sie wachsam bis zum nächsten Patchday am 08. September 2020.


Sie kennen Ihre Schwachstellen nicht?

Unser Vulnerabilty Management as a Service sorgt für Aufklärung.
Kontaktieren SIe uns!