Patch Tuesday im Juli: Vom Sommerloch keine Spur

Trotz der zwischenzeitlichen Hitzewelle ist von einem Sommerloch bei Microsoft keine Spur. Vielmehr hat das Unternehmen einen wahren Update-Rundumschlag gestartet. [...]

Insgesamt nimmt sich Microsoft am Patch Tuesday im Juli 77 individuelle CVEs vor, darunter zwei Zero-Day-Schwachstellen mit bereits gemeldeten Attacken und sechs öffentlich bekannte Sicherheitslücken. (c) DOC RABE Media - stock.adobe.com

Insgesamt nimmt sich Microsoft 77 individuelle CVEs vor, darunter zwei Zero-Day-Schwachstellen mit bereits gemeldeten Attacken und sechs öffentlich bekannte Sicherheitslücken. Dafür gibt es Updates für Windows-OS, Office, .Net, SQL, VSTS und einen Hinweis für Microsoft Exchange Server. Zusätzlich stehen Updates für die Entwicklungsbinärdateien zur Verfügung: Azure IoT Edge, Azure Kubernetes Service, Azure Automation, Azure DevOps Server, ASP.Net Core, .Net Core und Chakra Core.

Beginnen wir mit den bereits gemeldeten Attacken. Bei (CVE-2019-0880) wird eine Sicherheitslücke in der Rechtevergabe von splwow64 ausgenutzt, um sich eine Erweiterung der Berechtigungen zu erschleichen. Betroffen sind Windows 8.1, Server 2012 und nachfolgende Betriebssysteme. Angreifer können ihre Berechtigungsstufe von einer niedrigen auf eine mittlere Integrität hochstufen. Sobald dies geschehen ist, können Angreifer eine andere Schwachstelle ausnutzen, über sich auch Code ausführen lässt.

Angriffe auf die Rechtevergabe liegen anscheinend im Trend, denn auch bei (CVE-2019-1132) geht es wieder genau darum. In diesem Fall liegt die Schwachstelle bei Win32k und rückt damit Windows 7, Server 2008 und Server 2008 R2 ins Visier der Angreifer. Wenn es Hackern gelingt, sich am System anzumelden, können sie über eine weitere Schwachstelle die volle Kontrolle über das System übernehmen.

Wenig Neues zum Patch Tuesday außerhalb von Microsoft

Außerhalb von Microsoft gibt es nur eine überschaubare Anzahl von Neuigkeiten. Mozilla veröffentlichte Updates für Firefox, wobei ESR nicht weniger als 21 Schwachstellen behebt. Die Patches werden als dringend eingestuft und beziehen sich auf Sicherheitslücken, die in Offenlegung von Informationen, Sandbox Escapes und Remote Code-Ausführung münden können.

Java verändert zum Patch Tuesday den Update-Prozess

Aber auch bei den Entwicklern-Tools gibt es Neuigkeiten. Da die Branche den Wandel zu DevOps und die Integration mit Development-Binaries wie Java fortsetzt, gibt es einiges, dass Unternehmen bei der Verwaltung der Schwachstellen in ihrer Umgebung beachten sollten: Java 11 änderte den Update-Prozess und verzichtet künftig auf Java Runtime Environment (JRE) und das Java Development Kit (JDK). Bei Java-8-Anwendungen wurde die Applikation von einem Entwickler mit dem JDK erstellt. Wenn die Anwendung auf einem System implementiert wurde, musste anschließend Java JRE ausgeführt werden. In der Regel erforderte es keine Änderung, wenn Oracle ein Update veröffentlichte, allerdings musste die JRE-Instanz aktualisiert werden, um Schwachstellen zu beseitigen. In Java 11 sind die JRE-Komponenten direkt integriert. Bei Java 11 Updates, die Schwachstellen beheben, müssen Entwickler ihre Version des JDK aktualisieren und die Anwendung erneut erstellen, wenn sie die darin enthaltenen JRE-Komponenten einbinden wollen.

Und damit schießt sich der Kreis diesen Monat auch wieder zu Microsoft. Denn auch hier wurde fleißig an Updates für Entwicklungstools geschraubt, darunter.Net Core und ASP.Net Core. Auch dort muss die die SDK-Komponente aktualisiert und anschließend die Anwendung neu erstellt werden, um die Schwachstellen zu beheben. Weitere Beispiele für diese Art der Development-Binaries sind Apache Struts, ChakraCore, ASP.NET CORE, Open Enclave SDK und viele andere.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*