Patch Day Oktober 2020 ohne Browser-Updates

Mit 87 gestopften Lücken im Oktober bleibt Microsoft zum ersten Mal in diesem Jahr deutlich unter der Marke von 100 Sicherheitslücken in einem Monat. Mit bislang 1078 in diesem Jahr gestopften Lücken ist die 1000er-Marke bereits überschritten. Die 11 als kritisch ausgewiesenen Sicherheitslücken betreffen Windows, Office und Hyper-V. Die übrigen Lücken stuft Microsoft bis auf eine als hohes Risiko ein. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI das Thema Patch Day auf.

Internet Explorer (IE), Edge
Für seine nicht mehr weiterentwickelten Browser Internet Explorer und Edge (EdgeHTML-basiert) liefert Microsoft bei diesem Patch Day keine Sicherheits-Updates. Für Edge (Chromium-basiert) hat es bereits in der letzten Woche ein Update auf die neue Version 86.0.622.38 gegeben. Diese basiert auf Chromium 86.0.4240.75.

➤Aus für IE 11 und alten Edge: Das müssen Sie wissen


Office
In seinen Office-Produkten hat Microsoft in diesem Monat 23 Sicherheitslücken beseitigt. Microsoft weist drei dieser Schwachstellen als kritisch aus. Zwei stecken in Sharepoint, eine in Outlook. Die Outlook-Lücke (CVE-2020-16947) kann mit einer speziell präparierten Mail ausgenutzt werden, um beliebigen Code einzuschleusen und mit Benutzerrechten auszuführen. Dazu genügt es bereits, wenn diese Mail in der Vorschau angezeigt wird. Weitere Lücken in Excel und Access können ebenfalls genutzt werden, um mit präparierten Dokumenten Code einzuschleusen und auszuführen. Microsoft weist solche Schwachstellen jedoch in aller Regel nicht als kritisch aus.

Windows
Der überwiegende Teil der Schwachstellen, 53 Lücken, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen.

Microsoft stuft sieben Windows-Lücken als kritisch ein. Zwei dieser Schwachstellen (CVE-2020-16967, -16968) betreffen den Camera Codec Pack und können mit speziell präparierten Bilddateien ausgenutzt werden. Ähnliche Lücken stopft Microsoft in der Media Foundation Bibliothek, in Base3D sowie in Microsoft-Grafikkomponenten. Die Schwachstelle CVE-2020-16911 in der Grafikschnittstelle GDI+ geht in die gleiche Richtung.

Die gravierendste Lücke in der Patch-Liste dürfte CVE-2020-16898 im TCP/IP-Stack sein. Wenn sich Router in einem IPv6-Netzwerk bekannt machen wollen, nutzen sie ICMPv6-Nachrichten. Mit manipulierten Nachrichten dieses Typs könnte ein Angreifer Code einschleusen und mit erhöhten Berechtigungen ausführen. Microsoft schätzt die Wahrscheinlichkeit für die Ausnutzung dieser Lücke recht hoch ein.

Insgesamt sechs Schwachstellen waren bereits vorab bekannt, gelten somit als 0-Day-Lücken. Angriffe, bei denen eine dieser Lücken ausgenutzt würde, sind bislang nicht bekannt. Die Schwachstellen stecken im .NET Framework sowie in verschiedenen Windows-Komponenten, etwa Fehlerberichterstattung, Kernel oder Setup. Sie gelten nicht als kritisch, da sie nicht geeignet sind, um eingeschleusten Code auszuführen.

Hyper-V
In der Virtualisierungslösung Hyper-V schließt der Hersteller in diesem Monat vier Sicherheitslücken. Eine der Lücken (CVE-2020-16891) ist als kritisch ausgewiesen. Wird sie ausgenutzt, kann ein Programm, das im Gastsystem läuft, aus der virtuellen Maschine ausbrechen und Code auf dem Hostsystem ausführen.


Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 23 Lücken schließen. Darunter sind zwei als kritisch ausgewiesene Schwachstellen.

Schließlich reicht Microsoft ein Sicherheits-Update für den Flash Player durch. Ein neues Windows-Tool zum Entfernen bösartiger Software gibt es im Oktober nicht. Der nächste turnusmäßige Patch Day ist am 10. November.