12/11/2020

Patchday Novemer 2020

Sorgen Sie für eine lücklenose Infrastruktur.
Von
Annika Gamerad
Marketing Specialist
und
Koray Yildizel
Manager Security Operations

Haben Sie sich schon vom letzten Patchday erholt? Denn Dienstag war es schon wieder so weit. Microsoft, Adobe und SAP veröffentlichten Ihre Patches für November 2020.

Neuerungen im Microsoft Patchday

Mit dem Patchday November hat Microsoft eine neue Version des Security Update Guides eingeführt. Die Schwachstellen werden nunmehr mit dem Common Vulnerability Scoring System (CVSS) beschrieben. Laut Microsoft kann nun jede Schwachstelle präzise bewertet und mit den jeweiligen Details beschrieben werden.

Weitere Infos und ein Vergleich zwischen der alten und der neuen Version können Sie auf dem Microsoft Blog nachlesen.

Laut der Zero Day Initative bestehe jedoch der Nachteil, dass Microsoft dadurch viele Informationen zurückhalte und der Umfang der Details über die Schwachstellen deutlich geringer sei. Die Einschätzung, ob die jeweilige Schwachstelle für "mein" Netzwerk relevant ist, geht nur aus der jetzt fehlenden Beschreibung hervor.

Dustin Childs von der Zero Day Initiative schreibt in seinem Blogartikel:

From Microsoft’s perspective, I’m sure they think they know best about how to rate a bug. There have been times when the researcher who found the bug disagreed.

Wir sind also gespannt, ob sich die neue Version von Microsoft langfristig halten kann...

Microsoft Patches

Jetzt kommen wir zu den 112 CVEs, die im November von Microsoft veröffentlicht wurden. Das ist scheinbar ein Umfang, an den wir uns in Zukunft gewöhnen müssen, vergleicht man die Zahlen der letzten 8 Monate miteinander. Betroffen sind:

  • Windows
  • Office, Office Services und Web Apps
  • Internet Explorer
  • Edge (EdgeHTML-basiert und Chromium-basiert)
  • ChakraCore
  • Exchange Server
  • Microsoft Dynamics
  • Azure Sphere
  • Windows Defender
  • Microsoft Teams
  • Visual Studio

Es wurden 17 Sicherheitslücken als kritisch, 93 als wichtig und zwei als gering schwerwiegend eingestuft. Ein Fehler ist als öffentlich bekannt und aktiv aufgeführt: CVE-2020-17087. Dieser Fehler wurde bereits Ende Oktober von Google bekannt gegeben und betrifft den Windows-Kernel. Es wurde festgestellt, dass er mit einem Chrome-Bug kombiniert wurde, um die Browser-Sandbox zu umgehen, mit dem Ziel, Code auf dem System auszuführen.

Selbst während dem Patchen der Systeme bleiben wir von Corona nicht verschont. Es gibt einen Fehler in Microsoft Teams, der hervorsticht. Vermutlich durch die vermehrte Nutzung von Schüler:innen im Zuge des Homeschoolings.

Alle aufgeführten CVEs mit den zugehörigen Patches finden Sie im Security Update Guide von Microsoft.

Adobe

Adobe hat bereits letzte Woche Notfall-Patches veröffentlicht. Und zwar für Acrobat und Reader. Vier von den 14 CVEs wurden als kritisch eingestuft, da nach Öffnen einer präparierten PDF-Ausführung Code möglich sein könnte.

Gestern hat Adobe drei Patches für Reader für Android und Connect veröffentlicht. Alle Patches von Adobe im November waren zum Zeitpunkt der Veröffentlichung nicht bekannt oder aktiv.

Adobe stellt alle nötigen Sicherheitsempfehlungen bereit.

SAP

SAP veröffentlichte im November 12 Updates. Darunter befinden sich 6 Hot News. Zwei mit Stufe 10 bewertete Schwachstellen betreffen die Produkte SAP Solution Manager (JAVA stack, Version - 7.2) und SAP Solution Manager (User Experience Monitoring, Version - 7.2). Die weiteren 4 CVEs, die als Hot News eingestuft wurden, betreffen diese Produkte:

  • SAP Data Services, Versions - 4.2
  • SAP S4 HANA(DMIS), Versions - 101, 102, 103, 104, 105
  • SAP NetWeaver AS JAVA, Versions - 7.20, 7.30, 7.31, 7.40, 7.50
  • SAP NetWeaver (Knowledge Management); Versions - 7.30, 7.31, 7.40, 7.50

Das SAP Support Portal stellt alle wichtigen Sicherheitsupdates und weitere nützliche Infos zu den SAP Patchdays zur Verfügung.

Schauen Sie bald wieder rein, wenn es heißt: It´s Time for Patchday! Der letzte für dieses Jahr findet am 08. Dezember statt!

Kennen Sie Ihre Schwachstellen?

Mit unserem Vulnerability Management as a Service behalten Sie die Oberhand über Ihre Systeme.
Informieren Sie sich jetzt!