Patch Day Juni 2022

Beim Patch Day am 14. Juni hat Microsoft etliche Updates bereitgestellt, die 56 Schwachstellen beheben. Das sind deutlich weniger als im Vormonat . Microsoft stuft drei Schwachstellen als kritisch ein und weist den Rest bis auf eine Lücke als hohes Risiko aus. Die Lücken betreffen unter anderem Windows, Office, Hyper-V und Azure. Eine Schwachstelle (CVE-2022-30190) wird bereits für Angriffe genutzt. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates . Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.

Browser
Das jüngste Sicherheits-Update für Edge (Chromium) ist die Version 102.0.1245.41, die Microsoft bereits kurz vor dem Patch Day bereitgestellt hat. Sie basiert auf Chromium 102.0.5005.124 und beseitigt mehrere Chromium-Lücken. Google hatte in der letzten Woche ein entsprechendes Sicherheits-Update für Chrome veröffentlicht.

Der Internet Explorer hat als Desktop-Browser in Windows ausgedient. Mit den Windows-Updates im Juni entfernt Microsoft den Browser-Dinosaurier. Er steht für Spezialfälle noch als IE-Modus in Edge zur Verfügung. IE-Komponenten, die durch andere Software genutzt werden, bleiben jedoch erhalten und werden auch weiterhin mit Sicherheits-Updates gepflegt.

Office
In seiner Office-Produkten hat Microsoft im Juni sieben Schwachstellen geschlossen, die alle als hohes Risiko ausgewiesen sind. Vier der Lücken sind geeignet, um mit präparierten Office-Dokumenten Code einzuschleusen und auszuführen (RCE: Remote Code Execution). Eine dieser Schwachstellen (CVE-2022-30173) steckt in Excel. Zwei weitere RCE-Lücken (CVE-2022-30157 und -30158) stecken in Sharepoint Server.

Etliche Windows-Lücken

Die Mehrzahl der Schwachstellen, in diesem Monat 40, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen.

Follina-Lücke gestopft
In Microsofts Update-Leitfaden nur schwer zu finden (selbst wenn man gezielt danach sucht) ist die seit Wochen für Angriffe ausgenutzte RCE-Lücke im Microsoft Windows Support Diagnostic Tool (MSDT), auch als „Follina“-Schwachstelle (CVE-2022-30190) bekannt. Angreifer versenden speziell präparierte Office-Dokumente. Öffnet ein Empfänger eine solche Datei, wird Code ausgeführt, der diese Lücke im MSDT nutzt, um Schadcode aus dem Netz zu laden und auszuführen. Betroffen sind alle noch unterstützten Windows-Version, einschließlich Server. Die Juni-Updates bringen Abhilfe.

Wie schon im Mai beseitigt Microsoft auch im Juni wieder mehrere RCE-Schwachstellen in seiner Implementierung des Lightweight Directory Access Protocol (LDAP). Eine der Lücken (CVE-2022-30139) stuft Microsoft als kritisch ein, die übrigen sechs als hohes Risiko. Als kritisch gilt auch die Schwachstelle CVE-2022-30136 im Windows Network File System (NFS). Im Gegensatz zum Mai ist diesmal NFSv4.1 betroffen.

In Microsofts Virtualisierungslösung Hyper-V hat der Hersteller die als kritisch ausgewiesene Sicherheitslücke CVE-2022-30163 geschlossen. Code im Gastsystem könnte aus der virtuellen Maschine ausbrechen und auf dem Host ausgeführt werden.

Wer die Video-Erweiterungen aus dem Microsoft Store für die Formate AV1 und HEVC einsetzt, sollte einmal mehr sicherstellen, dass er auch die Updates aus dem Store erhält. Das ist bei Rechnern mit Internet-Zugriff üblicherweise der Fall. Zwei RCE-Lücken betreffen AV1, vier HEVC (H.265). Hinzu kommt eine Sicherheitslücke im Windows Media Center (CVE-2022-30135), deren Ausnutzung einem Angreifer höhere Berechtigungen verschaffen kann.

Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 20 Lücken schließen. Darunter ist mit CVE-2022-30163 (Hyper-V) eine als kritisch ausgewiesene Sicherheitslücke.

Auch im Juni gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software . Der nächste turnusmäßige Update-Dienstag ist am 12. Juli 2022.