Patch Day Oktober
Die im Oktober bereitgestellten Updates sollen insgesamt 59 Sicherheitslücken beheben, 20 weniger als im Vormonat . Darunter sind neun Lücken, die Microsoft als kritisch einstuft. Diese betreffen Windows, die Browser Edge und Internet Explorer sowie den Azure App Service. Die die meisten übrigen Lücken stuft Microsoft als hohes Risiko ein, eine als nur mäßig gefährlich. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI das Thema Patch Day auf.
Internet Explorer (IE)
Das neue kumulative Sicherheits-Update (4519974) für den Internet Explorer 9 bis 11 beseitigt fünf Schwachstellen in der Browser-Altlast. Zwei Lücken sind als kritisch eingestuft. Zwei andere Schwachstellen teilt sich der IE mit Edge. Mit im Paket ist auch eine weitere Nachbesserung für das Update gegen die (nunmehr ehemalige) 0-Day-Lücke CVE-2019-1367, die Microsoft bereits am 23. September mit einem Update außer der Reihe geschlossen hatte. Doch dieses Update verursacht bei manchen Benutzern Druckprobleme unter Windows 10, die auch die am 3. Oktober nachgebesserte Fassung nicht vollständig beseitigt. Im Gegenteil: Es sind neue Probleme aufgetaucht.
Edge
Im Browser Edge hat Microsoft im Oktober sieben Lücken gestopft, von denen der Hersteller vier als kritisch einstuft. Die Scripting Engine „Chakra“ ist auch diesmal in vielen Fällen die Fehlerquelle, namentlich bei allen kritischen Lücken. Chakra und Edge behandeln Speicherobjekte nicht korrekt und ermöglichen es so einem Angreifer Code einzuschleusen und mit Benutzerrechten auszuführen. Microsoft fügt dem Browser jetzt das Attribut „EdgeHTML-based“ an, um ihn von der zukünftigen, Chromium-basierten Variante abzugrenzen. Edge (Chromium) ist bereits als Vorabversion erhältlich.
Office
Für seine Office-Familie liefert Microsoft im Oktober Updates gegen sechs Sicherheitslücken aus. Microsoft stuft keine dieser Lücken als kritisch ein. Zwei Excel-Schwachstellen (CVE-2019-1327, CVE-2019-1331) ermöglichen es einem Angreifer, mit präparierten Dokumenten Code einzuschleusen, sind jedoch nur als wichtig eingestuft. Sie betreffen neben Excel 2010 und neuer auch Office 365 ProPlus sowie Office 2016 und 2019 für Mac. Die vier übrigen Lücken stecken in Sharepoint.
Windows
Der überwiegende Teil der Schwachstellen, 37 Lücken, verteilt sich über die verschiedenen Windows-Versionen, für die Microsoft noch Sicherheits-Updates anbietet. Microsoft stuft zwei dieser Lücken als kritisch ein. Eine dieser Lücken (CVE-2019-1333) betrifft den Remote Desktop Client aller Windows-Versionen, ganz ähnlich wie schon im September. Ein Angreifer müsste ein potenzielles Opfer dazu bringen, sich mit einem präparierten RDP-Server zu verbinden.
Die zweite kritische Lücke (CVE-2019-1372) steckt im Azure App Service. Sie kann dazu genutzt werden, einer durch einen Benutzer ausgeführten, nicht privilegierten Funktion per Sandbox-Escape zu ermöglichen, Code mit Systemberechtigungen auszuführen. Die Ursache dafür ist, dass der Dienst die Größe eines Puffers nicht prüft, bevor er Speicherinhalte hineinschreibt – ein klassischer Pufferüberlauf.
Mehrere Schwachstellen hat Microsoft im Windows Update Client sowie in der Fehlerberichterstattung behoben. In dem in Windows enthaltenen Jet Datenbankmodul sind zwei Lücken gestopft, die es erlauben, eingeschleusten Code auszuführen. Der Web-Server IIS (Internet Information Services) erhält ein Update, weil er eine Lücke aufweist, die der oben beschriebenen im Azure App Service gleicht wie ein Zwilling. In SQL Server Management Studio schließt Microsoft ein Datenleck und in Dynamics 365 eine XSS-Lücke (Cross-site Scripting).
Updates für Windows 10 Mobile sieht man selten beim Patch Day. Die Schwachstelle CVE-2019-1314 betrifft Cortana. Die digitale Assistentin erlaubt es Jedermann, trotz gesperrtem Bildschirm auf die im Telefon gespeicherten Fotos zuzugreifen und sie zu verändern oder zu löschen. Voraussetzung ist allerdings, dass der Besitzer des Geräts Cortana auf dem Sperrbildschirm freigegeben hat.
Flash Player
Adobe hat am 8. Oktober keinen neuen Flash Player bereitgestellt – und auch sonst keine Updates.
Schließlich gibt es, wie in jedem Monat (außer im September), auch im Oktober das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 12. November 2019.
Quelle: Microsoft schließt 59 Sicherheitslücken - PC-WELT