Trotz der zwischenzeitlichen Hitzewelle ist von einem Sommerloch bei Microsoft keine Spur. Vielmehr hat das Unternehmen einen wahren Update-Rundumschlag gestartet. [...]
Insgesamt nimmt sich Microsoft 77 individuelle CVEs vor, darunter zwei Zero-Day-Schwachstellen mit bereits gemeldeten Attacken und sechs öffentlich bekannte Sicherheitslücken. Dafür gibt es Updates für Windows-OS, Office, .Net, SQL, VSTS und einen Hinweis für Microsoft Exchange Server. Zusätzlich stehen Updates für die Entwicklungsbinärdateien zur Verfügung: Azure IoT Edge, Azure Kubernetes Service, Azure Automation, Azure DevOps Server, ASP.Net Core, .Net Core und Chakra Core.
Beginnen wir mit den bereits gemeldeten Attacken. Bei (CVE-2019-0880) wird eine Sicherheitslücke in der Rechtevergabe von splwow64 ausgenutzt, um sich eine Erweiterung der Berechtigungen zu erschleichen. Betroffen sind Windows 8.1, Server 2012 und nachfolgende Betriebssysteme. Angreifer können ihre Berechtigungsstufe von einer niedrigen auf eine mittlere Integrität hochstufen. Sobald dies geschehen ist, können Angreifer eine andere Schwachstelle ausnutzen, über sich auch Code ausführen lässt.
Angriffe auf die Rechtevergabe liegen anscheinend im Trend, denn auch bei (CVE-2019-1132) geht es wieder genau darum. In diesem Fall liegt die Schwachstelle bei Win32k und rückt damit Windows 7, Server 2008 und Server 2008 R2 ins Visier der Angreifer. Wenn es Hackern gelingt, sich am System anzumelden, können sie über eine weitere Schwachstelle die volle Kontrolle über das System übernehmen.
Wenig Neues zum Patch Tuesday außerhalb von Microsoft
Außerhalb von Microsoft gibt es nur eine überschaubare Anzahl von Neuigkeiten. Mozilla veröffentlichte Updates für Firefox, wobei ESR nicht weniger als 21 Schwachstellen behebt. Die Patches werden als dringend eingestuft und beziehen sich auf Sicherheitslücken, die in Offenlegung von Informationen, Sandbox Escapes und Remote Code-Ausführung münden können.
Java verändert zum Patch Tuesday den Update-Prozess
Aber auch bei den Entwicklern-Tools gibt es Neuigkeiten. Da die Branche den Wandel zu DevOps und die Integration mit Development-Binaries wie Java fortsetzt, gibt es einiges, dass Unternehmen bei der Verwaltung der Schwachstellen in ihrer Umgebung beachten sollten: Java 11 änderte den Update-Prozess und verzichtet künftig auf Java Runtime Environment (JRE) und das Java Development Kit (JDK). Bei Java-8-Anwendungen wurde die Applikation von einem Entwickler mit dem JDK erstellt. Wenn die Anwendung auf einem System implementiert wurde, musste anschließend Java JRE ausgeführt werden. In der Regel erforderte es keine Änderung, wenn Oracle ein Update veröffentlichte, allerdings musste die JRE-Instanz aktualisiert werden, um Schwachstellen zu beseitigen. In Java 11 sind die JRE-Komponenten direkt integriert. Bei Java 11 Updates, die Schwachstellen beheben, müssen Entwickler ihre Version des JDK aktualisieren und die Anwendung erneut erstellen, wenn sie die darin enthaltenen JRE-Komponenten einbinden wollen.
Und damit schießt sich der Kreis diesen Monat auch wieder zu Microsoft. Denn auch hier wurde fleißig an Updates für Entwicklungstools geschraubt, darunter.Net Core und ASP.Net Core. Auch dort muss die die SDK-Komponente aktualisiert und anschließend die Anwendung neu erstellt werden, um die Schwachstellen zu beheben. Weitere Beispiele für diese Art der Development-Binaries sind Apache Struts, ChakraCore, ASP.NET CORE, Open Enclave SDK und viele andere.
Be the first to comment