13/1/2021

Patchday Januar

Willkommen zum ersten Patchday des Jahres 2021. Wir starten mit interessanten CVEs in das neue Jahr.
Von
Ellen Leipelt
Marketing Specialist
und

Das Jahr beginnt mit einigen interessanten CVEs. Wir haben die Wichtigsten für Sie zusammengefasst.

Microsoft

Für den Januar veröffentlichte Microsoft Patches für insgesamt 83 CVEs, die Microsoft Windows, Edge (EdgeHTML-based), ChakraCore, Office, Microsoft Office Services und Web Apps, Visual Studio, Microsoft Malware Protection Engine, .NET Core, Asp .NET und Azure betreffen.

Im Schweregrad werden von diesen CVEs 10 als kritisch und 73 als wichtig eingestuft.

Die von Microsoft bereitgestellten Patches und Updates finden Sie im Security Update Guide. Hier finden Sie ebenfalls weiterführende Informationen und Leitfäden.

Laut Microsoft sei ein Fehler öffentlich bekannt und von einem Fehler wüsste man, dass er zum Zeitpunkt der Veröffentlichung aktiv ausgenutzt wird.

Quelle: Microsoft

Die kritische Schadcode-Schwachstelle im Microsoft Defender:

  • CVE-2021-1647 Microsoft Defender Remote Code Execution Vulnerability

Die Microsoft Malware Protection Engine wird bei Bedarf automatisch aktualisiert, daher ist es möglich, dass dieser Bug bereits auf Ihrem System gepatcht ist. Sollten Ihre Systeme nicht mit dem Internet verbunden sein, müssen Sie den Patch manuell anwenden. Microsoft macht keine Angaben darüber wie weit verbreitet die aktiven Angriffe sind, doch es besteht die Möglichkeit, dass diese Schwachstelle mit den jüngsten Meldungen der kompromittierten Microsoft-Netzwerke zusammenhängen könnte.

Die unter Critical gelisteten CVEs:

  • CVE-2021-1665 GDI+ Remote Code Execution Vulnerability
  • CVE-2021-1643 HEVC Video Extensions Remote Code Execution Vulnerability
  • CVE-2021-1668 Microsoft DTV-DVD Video Decoder Remote Code Execution Vulnerability
  • CVE-2021-1705 Microsoft Edge (HTML-based) Memory Corruption Vulnerability
  • CVE-2021-1658 Remote Procedure Call Runtime Remote Code Execution Vulnerability
  • CVE-2021-1660 Remote Procedure Call Runtime Remote Code Execution Vulnerability
  • CVE-2021-1666 Remote Procedure Call Runtime Remote Code Execution Vulnerability
  • CVE-2021-1667 Remote Procedure Call Runtime Remote Code Execution Vulnerability
  • CVE-2021-1673 Remote Procedure Call Runtime Remote Code Execution Vulnerability

Eine als wichtig eingestufte Lücke sollte ebenfalls Aufmerksamkeit erhalten:

  • CVE-2021-1648 Microsoft splwow64 Elevation of Privilege Vulnerability

Diese CVE ist öffentlich bekannt und es könnte bald zu Attacken kommen, da das vorherige CVE bereits von Angreifern ausgenutzt wurde. Den Ansatzpunkt löste ein Patch aus, welcher Strings prüft und dabei einen Speicherfehler auslöst. So ist es Angreifern möglich, höhere Nutzerrechte zu erlangen.

Weitere hilfreiche Informationen zu den hier aufgeführten und im gesamten gelisteten CVEs stellt die Zero Day Initiative monatlich für Sie bereit.

Adobe

Diesen Monat hat Adobe 7 Updates veröffentlicht. Sie beheben CVEs in Adobe Campaign Classic, Photoshop, Illustrator, Animate, InCopy, Captivate und Bridge. Damit werden drei als kritisch eingestufte Schwachstellen in unkontrollierten Suchpfadelementen für Illustrator, Animate und InCopy beseitigt. Jedoch ist keine der behobenen Schwachstellen zum Zeitpunkt der Update-Veröffentlichung als öffentlich bekannt oder unter aktivem Angriff gelistet.

SAP

SAP veröffentlichte 10 Sicherheitshinweise, sowie 7 Updates zu bereits veröffentlichten Patchday Sicherheitshinweisen.

5 als Hot News eingestufte Sicherheitshinweise betreffen folgende Produkte:

  • SAP Business Client
  • SAP Business Warehouse
  • SAP BW4HANA
  • SAP NetWeaver AS JAVA

Für den SAP NetWeaver AS ABAP wurde eine Sicherheitsschwachstelle als hoch eingestuft.

Die folgende Grafik gibt Aufschluss über die Verteilung der Schwachstellentypen im Januar 2021:

Quelle: SAP

Bleiben Sie bis zum nächsten Patchday am 9. Februar sicher und gesund!

Vulnerability Management as a Service

Sichern Sie sich einen automatisierten, monatlichen Scan, der bekannte Sicherheitsschwachstellen sucht und identifiziert.
Informieren Sie sich jetzt!

Lesen sie Weitere Artikel passend zum thema