Am Patchday im November kümmert sich Microsoft unter anderem um Defender, Internet Explorer, Teams und Windows. Insgesamt sind 112 Sicherheitspatches über Windows Update verfügbar. 17 Lücken sind mit dem Bedrohungsgrad "kritisch" eingestuft. Der Großteil der verbleibenden Schwachstellen ist mit der Einstufung "wichtig" versehen.
Attacken auf Windows
Nun ist ein Patch für die seit Ende Oktober ausgenutzte Kernel-Lücke (CVE-2020-17087) verfügbar. Die Lücke gilt aber nicht als kritisch, da Angreifer bereits Zugriff auf verwundbare Computer haben müssen. Ist das gegeben, könnten sich Angreifer höhere Nutzerrechte aneignen. Davon sind Windows 7 bis 10 und verschiedene Windows-Server-Versionen betroffen.
Weitere Details zu dieser und weiteren Schwachstellen sind nicht bekannt. Wie aus der Warnmeldung hervorgeht, hat Microsoft die Darstellung überarbeitet und beschreibt ab sofort keine detaillierten Einzelheiten mehr zu Lücken und möglichen Angriffsszenarien.
Noch mehr Schwachstellen
Als kritisch gilt beispielsweise eine Lücke im Network File System (NFS) von Windows. Aufgrund der Einstufung ist davon auszugehen, dass Attacken aus der Ferne und ohne Authentifizierung möglich sind.
Außerdem könnten Angreifer die Videocodec-Erweiterungen AV1 und HEVC als Ansatzpunkt für Remote-Code-Execution-Attacken ausnutzen. Auch eine Schwachstelle in Teams könnte Schadcode auf Computer lassen.
Weniger ist mehr
In einem Blog-Beitrag begründet Microsoft die angepasste Beschreibung von Sicherheitslücken damit, dass die Beschreibung des Bedrohungsgrades einer Lücke mithilfe des Common Vulnerability Scoring System (CVSS) für Admins mehr handfeste Infos hergibt. So listet Microsoft nun neben der Einstufung einer Sicherheitslücke auch die einzelnen Parameter auf, aus denn sich eine CVSS-Einstufung zusammensetzt. So sieht man etwa auf den ersten Blick, ob Attacken aus der Ferne möglich sind und ob ein Opfer mitspielen muss oder nicht.
Quelle: Patchday: Microsoft schließt Kernel-Lücke in Windows | heise online