Patch Day Juli 2021

Die Anzahl der beim monatlichen Patch Day beseitigten Schwachstellen erreicht im Juli wieder das Vorjahresniveau, liegt also über 100. Von den 116 am 13. Juli behobenen Schwachstellen stuft Microsoft 12 als kritisch ein, den Rest bis auf eine als hohes Risiko. Kritische Lücken betreffen Windows, Exchange Server und Dynamics. Fünf Schwachstellen waren vorab öffentlich bekannt, drei Lücken werden bereits ausgenutzt. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates . Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf.

Browser
Auch wenn Microsofts Leitfaden keine Updates in der Kategorie Browser ausweist, hält der Hersteller doch ein wichtiges Browser-Update bereit. Die als kritisch eingestufte Schwachstelle CVE-2021-34448 steckt im Skriptmodul und kann daher als IE-Komponente gelten. Sie wird folgerichtig in älteren Windows-Versionen durch ein kumulatives Update für den Internet Explorer (KB5004233) geschlossen. Betroffen sind alle Windows-Versionen von 7 bis 10, RT 8.1 sowie Server 2008 R2 bis 2019. Microsoft gibt zudem an, die Schwachstelle werde bereits für Angriffe ausgenutzt. Weitere Details dazu liefert Microsoft nicht. In dem IE-Update ist auch ein Patch gegen die als kritisch ausgewiesene Schwachstelle CVE-2021-34497 in der Windows MSHTML-Plattform enthalten. Diese betrifft ebenfalls alle Windows-Versionen, wird jedoch bislang nicht für Angriffe genutzt.

Das jüngste Sicherheits-Update für Edge (Chromium) stammt vom 24. Juni. Die aktuelle Version ist 91.0.864.67 vom 8. Juli sie basiert auf Chromium 91.0.4472.124.

Office
In seiner Office-Familie hat Microsoft in diesem Monat zehn Schwachstellen beseitigt. Microsoft weist eine der Lücken als mittleres Risiko aus, die anderen sind als hohes Risiko eingestuft. Sechs Lücken sind jedoch geeignet, um mit präparierten Office-Dokumenten Code einzuschleusen und auszuführen. Drei dieser Schwachstellen stecken in Sharepoint, zwei in Excel und eine in Word. CVE-2021-34501 (Excel) betrifft auch Office 2019 für Mac, für das Sicherheits-Updates meist etwas später erscheinen.

Windows
Mehr als drei Viertel der Schwachstellen (91) verteilen sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen.

PrintNightmare-Lücke
Bereits am 1. Juli hat Microsoft außer der Reihe Sicherheits-Updates gegen die für Angriffe genutzte „PrintNightmare“-Lücke (CVE-2021-34527) bereitgestellt und die Informationen dazu seitdem mehrfach aktualisiert, zuletzt am 8. Juli. Diese Schwachstelle ist bei der oben genannten Anzahl der beim Update-Dienstag gestopften Lücken nicht eingerechnet. Microsoft insistiert gegen alle Kritik , der Patch sei voll umfänglich wirksam. Voraussetzung ist allerdings, dass die Konfiguration der Druckwarteschlange der Voreinstellung entspricht.

Zu den bislang nicht bekannten, als kritisch eingestuften Windows-Schwachstellen zählen drei Lücken in Windows Media und Windows Media Foundation. Ebenfalls als kritisch stuft Microsoft Sicherheitslücken in Hyper-V, DNS-Server sowie im Kernel ein. Letztere (CVE-2021-34458) betrifft lediglich Systeme, auf denen virtuelle Maschinen mit einer bestimmten Konfiguration („SR-IOV“) laufen. Microsoft weist für diese Lücke den CVSS-Score 9.9 aus – betroffene Organisationen sollten diese Lücke also ernst nehmen.

Modulversion der Malware Protection Engine

Defender
Der in Windows 10 enthaltene Microsoft Defender (vormals Windows Defender) weist zwei als kritisch ausgewiesene Sicherheitslücken (CVE-2021-34464, CVE-2021-34522) aus. Beide könnten ausgenutzt werden, um beliebigen Code einzuschleusen und auszuführen. Solche Fehler in der Malware Protection Engine werden ohne Zutun eines Benutzers durch Produkt-Updates beseitigt. Ab Modulversion 1.1.18242.0 der Malware Protection Engine sind die Schwachstellen beseitigt.

Exchange Server
Für den Exchange Server führt Microsoft sieben geschlossene Lücken auf, doch nicht alle sind neu. Drei Lücken wurden bereits im April beseitigt, jedoch bisher nicht dokumentiert. Zu den neuen Patches gehört der gegen CVE-2021-31206, eine Lücke, die beim Hacker-Wettbewerb Pwn2Own Anfang April eingesetzt wurde. Sie ermöglicht es einem Angreifer, Code einzuschleusen und auszuführen.

Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 40 Lücken schließen. Darunter sind auch die beiden oben genannten Schwachstellen in IE-Komponenten sowie CVE-2021-3452 (PrintNightmare).

Auch im Juli gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software . Der nächste turnusmäßige Update-Dienstag ist am 10. August.