Microsoft schließt 66 Sicherheitslücken

Wir fassen die wichtigsten Updates für Sie zusammen und helfen Ihnen und Ihrem Unternehmen beim Thema Updates.

Was ist kritisch?

Unter den 66 Sicherheitslücken, die von Microsoft beseitigt werden, sind dieses Mal nur drei kritische Lücken. Sie stecken in Windows und die Open-Source-Project Open Management Infrastructure. Dazu kommen noch zwei Zero-Day-Lücken, die Edge und die MSHTML Rendering-Engine betreffen. Die MSHTML-Lücke wird bereits für Angriffe ausgenutzt.

Eine Liste mit allen Updates gibt es wieder im Microsoft Security Update Guide.

Windows-Updates

Die Updates beziehen sich auch an diesem Patchday nur auf die Windows-Versionen, die von Microsoft noch offiziell unterstützt werden (8.1 und neuer).

Von den 34 Windows-Schwachstellen sind zwei als kritisch eingestuft.
Eine davon ist CVE-2021-36965 im WLAN AutoConfig-Dienst. Bei einem erfolgreichen Angriff kann ein Angreifer, auch ohne Einwirken des Benutzers, Code einschleusen und die vollständige Kontrolle über das System erlangen.

Zum Ausnutzen dieser Schwachstelle muss sich ein Angreifer allerdings in unmittelbarer Reichweite des genutzten WLANs befinden, um Zugriff auf Geräte zu erhalten.

Risiken bestehen also vor allem in öffentlichen Netzwerken.

Zum Einschleusen von Code eignet sich auch die zweite kritische Windows-Lücke, welche in der Windows Script Engine steckt:

Öffnet ein Nutzer eine präparierte Datei oder besucht eine entsprechend präparierte Webseite, dann lässt sich Code einschleusen und mit Benutzerrechten ausführen.

Microsoft Office

Bei seinen Office-Produkten schließt Microsoft 12 Hochrisiko-Schwachstellen. Neun dieser Schwachstellen eignen sich ebenfalls zum Einschleusen und Ausführen von Code mittels präparierten Office-Dokumenten.

Die Lücke CVE-2021-40444 in MSHTML ist die eingangs erwähnte Schwachstelle, die bereits für Angriffe ausgenutzt wird. Der Angriff funktioniert über ein schädliches ActiveX-Element; es gibt mittlerweile allerdings auch Möglichkeiten, anderweitig diese Schwachstelle auszunutzen. ActiveX zu deaktivieren bietet also keinen zuverlässigen Schutz.

Details zu dieser Schwachstelle gibt es unter anderem auf BleepingComputer.com

Updates für die Browser

Die MSHTML-Lücke CVE-2021-40444 betrifft nicht nur Office, sondern lässt sich auch noch beim Internet Explorer ausnutzen. Da der Internet Explorer aber schon länger mehr als veraltet ist, raten wir ohnehin von der Nutzung ab.

Die andere Zero-Day-Lücke steckt im Chromium Edge. Da dieser seine Updates separat erhält, sollte die Lücke bei den meisten Chromium-Nutzern bereits seit dem 11. September geschlossen sein.

Sie benötigen Hilfe bei den Updates?

• Sie benötigen Hilfe bei der Aktualisierung von Windows und Microsoft-Produkten?
• Sie haben nach den Updates Kompatibilitätsprobleme mit einigen Programmen?

Rufen Sie uns an und wir helfen Ihnen gerne weiter!

Natürlich gehören nicht nur Updates zu unserem Serviceangebot:
Wir sorgen dafür, dass Ihre Unternehmens-IT rundum sicher ist und reibungslos läuft.
Wenn Sie noch gar nicht über eine professionell ausgestattete und reibungslos funktionierende Firmen-IT verfügen oder sich eine Generalüberholung wünschen, dann setzen Sie sich gerne mit uns in Verbindung.

Unser kostenloser Netzwerkcheck bietet Ihnen und uns einen Überblick über das, was sich in Ihrer Unternehmens-IT verbessern lässt.

Zusätzlich zu unseren technischen Lösungen bieten wir Ihnen und Ihren Mitarbeitern Schulungen an, um Sicherheitsrisiken besser erkennen und vermeiden zu können.

• Sie haben noch Fragen zum Thema IT-Sicherheit in Ihrem Unternehmen?

Zögern Sie nicht, uns anzurufen ( 0221 / 6306 1516 0 ) oder schreiben Sie uns via Kontaktformular!

Wir können nicht nur IT-Sicherheit:

Werfen Sie gerne einen Blick in unsere Leistungen und Kompetenzen und verschaffen Sie sich einen Überblick darüber, was wir alles für Sie und Ihr Unternehmen tun können!

Wir freuen uns auf Sie!

Ihr Kastl & Rieter IT-Service

Quelle:
PC-Welt