9/12/2020

Patchday Dezember

Der letzte Patchday in 2020 bringt eine überschaubare Anzahl an CVEs mit.
Von
Annika Gamerad
Marketing Specialist
und
Koray Yildizel
Manager Security Operations

Microsoft

Microsoft veröffentlichte 58 CVEs und Hinweise für Microsoft Windows, Microsoft Edge (EdgeHTML-based), Microsoft Edge for Android, ChakraCore, Microsoft Office und Microsoft Office Services und Web Apps, Microsoft Exchange Server, Azure DevOps, Microsoft Dynamics, Visual Studio, Azure SDK und Azure Sphere.

Historische betrachtet ist laut der Zero Day Initiative auch der Dezember 2020 ein leichter Monat mit Patches. Die CVE-Gesamtzahl für 2020 beträgt somit 1.250.

Im Security Update Guide stellt Microsoft alle Sicherheitsupdates bereit. Von den 58 im Dezember veröffentlichten Patches wurden neun als Critical und drei als mäßig schwerwiegend eingestuft.

Die als Critical eingestuften CVEs sind:

  • CVE-2020-17131 Chakra Scripting Engine Memory Corruption Vulnerability
  • CVE-2020-17095 Hyper-V Remote Code Execution Vulnerability
  • CVE-2020-17152 Microsoft Dynamics 365 for Finance and Operations (on-premises) Remote Code Execution Vulnerability
  • CVE-2020-17158 Microsoft Dynamics 365 for Finance and Operations (on-premises) Remote Code Execution Vulnerability
  • CVE-2020-17117 Microsoft Exchange Remote Code Execution Vulnerability
  • CVE-2020-17132 Microsoft Exchange Remote Code Execution Vulnerability
  • CVE-2020-17142 Microsoft Exchange Remote Code Execution Vulnerability
  • CVE-2020-17118 Microsoft SharePoint Remote Code Execution Vulnerability
  • CVE-2020-17121 Microsoft SharePoint Remote Code Execution Vulnerability

Die ausführliche Liste sowie hilfreiche Informationen über die CVEs stellt die Zero Day Initiative monatlich bereit.

Adobe

Mittlerweile seit 3 Jahren bekannt, ist es nun soweit: Am 31. Dezember 2020 stellt Adobe den Support für den Flash Player ein. Die mangelnde Sicherheit war hier immer wieder Thema. Zum Abschied gibt´s in den Versionshinweisen von Adobe noch ein paar nette Worte:

"Wir möchten uns an dieser Stelle bei allen unseren Kunden und Entwicklern bedanken, die in den letzten zwei Jahrzehnten Flash Player-Inhalte verwendet und erstellt haben. Wir sind stolz darauf, dass Flash eine entscheidende Rolle bei der Entwicklung von Web-Inhalten in den Bereichen Animation, Interaktivität, Audio und Video gespielt hat. Wir freuen uns darauf, die nächste Ära der digitalen Erfahrungen mitzugestalten.

Adobe wird Flash Player nach dem 31. Dezember 2020 nicht mehr unterstützen, und Adobe wird die Ausführung von Flash-Inhalten im Flash Player ab dem 12. Januar 2021 blockieren; Adobe empfiehlt allen Anwendern dringend, Flash Player sofort zu deinstallieren, um ihre Systeme zu schützen."

Neben dem letzten Update des Flash Players stellt Adobe im Dezember vier Sicherheits-Updates bereit für Prelude, Lightroom und Experience Manager. Die beiden als kritisch eingestuften Schwachstellen betreffen Lightroom und Prelude. Bei beiden könnte durch ein unkontrolliertes Suchelement beliebiger Code ausgeführt werden.

Eine Schwachstelle im Experience Manager wurde ebenfalls als kritisch eingestuft, da im Browser beliebiger Javascript-Code ausgeführt werden könnte. Als hoch wurde der zweite Fehler eingestuft, durch den Angreifer sensible Informationen abgreifen könnten. Außerdem folgen im Laufe der Woche noch Updates für Acrobat und Reader.

SAP

SAP veröffentlichte 11 Sicherheitshinweise sowie 2 Aktualisierungen aus zuvor veröffentlichten Patch-Day-Sicherheitshinweisen.

Vier als Hot News eingestufte Schwachstellen betreffen folgende Produkte:

  • SAP NetWeaver AS JAVA (P2P Cluster Communication)
  • SAP BusinessObjects BI Platform (Crystal Report)
  • SAP Business Warehouse und SAP BW4HANA
  • SAP AS ABAP(DMIS) und SAP S4 HANA(DMIS)

Für den SAP Solution Manager (User Experience Monitoring), SAP NetWeaver AS ABAP (SAP Landscape Transformation - DMIS) sowie für SAP S4 HANA (SAP Landscape Transformation) wurden zwei Schwachstellen als High eingestuft.

Die folgende Grafik zeigt die Verteilung der Anfälligkeitstypen im Dezember 2020:

Quelle: SAP

Bleiben Sie bis zum nächsten Patchday im neuen Jahr am 12. Januar sicher und gesund!

Vulnerability Management as a Service

Sichern Sie sich einen automatisierten, monatlichen Scan, der bekannte Sicherheitsschwachstellen sucht und identifiziert.
Jetzt informieren!