Dezember Patchday

Dezember 12, 2019 2:21 pm Veröffentlicht von

Patchday: Microsoft schließt Zero-Day-Lücke

Beim letzten Patchday für dieses Jahr hat Microsoft noch einmal eine Reihe Sicherheitslücken geschlossen. Unter den 38 Lücken ist auch eine Zero-Day-Lücke, die bereits für Angriffe ausgenutzt wird.

Außerdem: Support-Ende für Windows 7 und Server 2008 steht bevor.

Wir fassen die wichtigsten Infos für Sie zusammen.

 

 

Was ist kritisch?

Von den 38 Sicherheitslücken, die an diesem Patchday geschlossen werden, stuft Microsoft sieben als kritisch ein. Diese befinden sich in Windows, Git für Visual Studio und HyperV. Die übrigen Lücken bekommen eine hohe Risikoeinstufung, ausgenommen von einer.

Eine detaillierte Übersicht über die einzelnen Patches und Updated gibt es wieder im Microsoft Security Update Guide.

 

Internet Explorer und Edge

Im Internet Explorer (Versionen 9 bis 11) wird diesen Monat nur eine Schwachstelle geschlossen. Sie wird von Microsoft allerdings nur als „wichtig“ eingestuft. Sie betrifft Automatisierungsfunktionen des Browsers (VBScript und ActiveX). Über VBScript wäre das Einschleusen und Ausführen von Code mittels präparierter Webseiten möglich; bei ActiveX könnten die Angriffe über präparierte Office-Dokumente erfolgen.

Der Browser Edge bekommt diesen Patchday keine Patches oder Updates. Am 15. Januar 2020 will Microsoft ohnehin den alten Browser durch eine neue Version von Edge auf Basis der Chromium-Engine ersetzen.

 

Windows-Updates an diesem Patchday

Die meisten Sicherheitslücken stecken diesen Monat in den Windows-Versionen, die von Microsoft noch unterstützt werden. Von den insgesamt 20 Lücken stuft Microsoft zwei als kritisch ein. Die Lücke CVE-2019-1468 betrifft die Schriftartenbibliothek von Windows und deren Umgang mit eingebetteten Fonts. Diese Lücke steckt in allen Windows-Versionen.

Die Schwachstelle CVE-2019-1458 findet sich im Windows-Kernel (Win32K). Ein angemeldeter Nutzer könnte sich über diese Schwachstelle höhere Rechte verschaffen und Code im Kernelmodus ausführen. Sie betrifft alle Windows-Versionen sowie Server 2016. Die Lücke wurde von Kaspersky Lab entdeckt und gemeldet. Anscheinend wird sie – in Kombination mit anderen Schwachstellen – auch schon für Angriffe ausgenutzt.

 

 


Hinweis: Support-Ende von Windows 7 und Server 2008

Wir möchten Sie darauf hinweisen, dass am 14. Januar 2020 das letzte Mal reguläre Sicherheitsupdates für Windows 7 sowie Server 2008 und Server 2008 R2 veröffentlicht werden.

Sofern Sie noch Windows 7 oder Server 2008 nutzen, sollten Sie sich möglichst bald um ein Upgrade kümmern. Alternativ können Sie für Ihr Unternehmen – wenn Sie Windows 7 doch noch eine Weile weiter nutzen möchten – das kostenpflichtige Extended Security Update (ESU) buchen.

Wir beraten Sie diesbezüglich gerne. Rufen Sie uns dazu einfach an ( 0221 / 6306 1516 0 ) oder schreiben Sie uns eine Nachricht via Kontaktformular.

Ebenfalls vom Support-Ende betroffen sind Windows 10 1803 und Server 1803. Diese erhalten schon seit diesem Jahr keine Updates mehr.

Die Windows 10 Version 1809 erhält noch bis zum 12. Mai 2020 Updates. Rechner, auf denen diese Version noch installiert ist, werden nach und nach automatisch auf die Version 1909 aktualisiert.


 

 

HyperV und Git für Visual Studio

Bei der Virtualisierungslösung HyperV besteht für Programme bei der Lücke CVE-2019-1471 die Möglichkeit, aus dem Gastsystem heraus Code auf dem Hostsystem auszuführen. Diese Lücke gilt als kritisch.

In Git für Visual Studio stecken an diesem Patchday fünf der sieben kritischen Sicherheitslücken. Alle fünf eignen sich zum Einschleusen und Ausführen von Code. Dafür muss ein Benutzer dazu gebracht werden, ein präpariertes Repository (digitales Verzeichnis) zu klonen. Über den entsprechenden eingeschleusten Code kann dann die vollständige Kontrolle über das System übernommen werden.

 

Flash Player und Windows-Tool

Für den Flash Player von Adobe gibt es diesen Monat keine neuen Patches oder Updates.

Das Windows-Tool zum Entfernen bösartiger Software ist am diesmonatigen Patchday wieder mit einer neuen Version dabei.

 

Sie benötigen Hilfe bei den Windows Updates?

  • Sie benötigen Hilfe bei der Aktualisierung von Windows und Microsofts Produkten?
  • Sie haben nach den Updates Kompatibilitätsprobleme mit einigen Programmen?
  • Sie möchten von Windows 7 auf Windows 10 upgraden?

Rufen Sie uns an und wir helfen Ihnen gerne weiter!

Natürlich gehören nicht nur Updates zu unserem Serviceangebot:
Wir sorgen dafür, dass Ihre Unternehmens-IT rundum sicher ist und reibungslos läuft.
Wenn Sie noch gar nicht über eine professionell ausgestattete und reibungslos funktionierende Firmen-IT verfügen oder sich eine Generalüberholung wünschen, dann setzen Sie sich gerne mit uns zusammen.

Unser kostenloser Netzwerkcheck bietet Ihnen und uns einen Überblick über das, was sich in Ihrer Unternehmens-IT verbessern lässt.

Zusätzlich zu unseren technischen Lösungen bieten wir Ihnen und Ihren Mitarbeitern Schulungen an, um Sicherheitsrisiken besser erkennen und vermeiden zu können.

  • Sie haben noch Fragen zum Thema IT-Sicherheit?

Zögern Sie nicht uns anzurufen ( 0221 / 6306 1516 0 ) oder schreiben Sie uns via Kontaktformular!

Darüber hinaus finden Sie auf unserer Homepage ausführlichere Informationen über unsere Leistungen und Kompetenzen.
Schauen Sie doch mal vorbei!

Werfen Sie auch gerne einen Blick auf die Kundenmeinungen und Referenzen, um sich ein weiteres Bild von uns zu machen.

 

Wir freuen uns, Ihnen zur Seite stehen zu dürfen

Ihr Kastl & Rieter IT-Service

 

 

 

Quelle:
https://www.pcwelt.de/news/Microsoft-schliesst-0-Day-Luecke-in-Windows-10720408.html