Im Vergleich zu den Vormonaten ist der Juni-Patchday eher ein Leichtgewicht. Er bringt Updates für insgesamt 51 verschiedene CVEs, von denen 11 als kritisch bewertet werden. Darüber hinaus hat Adobe letzte Woche ein außerplanmäßiges Update für ein Sicherheitsleck in Flash-Player veröffentlicht, das bereits aktiv ausgenutzt wird.
Speculative-Store-Bypass
Microsoft stellt Patches für Speculative-Store-Bypass bereit, auch als Spectre-Variante 4 bekannt. Diese Patches gewährleisten Unterstützung für die Funktion Speculative-Store-Bypass-Disable (SSBD) für Intel-Prozessoren. Um vollständigen Schutz gegen Variante 4 zu erreichen, wird Microcode von Intel benötigt. Microsoft hat zu diesem Thema einen Artikel mit Handlungsempfehlungen veröffentlicht.
Windows-DNSAPI
Der Juni-Patchday bringt auch Updates für Sicherheitslücken, die in der Windows-DNSAPI entdeckt wurden. Diese Lücken könnten einen Angreifer in die Lage versetzen, ein System über einen bösartigen DNS-Server zu kompromittieren. Mobile Workstations, die sich mit nicht vertrauenswürdigen Wifi-Netzen verbinden können, sind stark gefährdet und sollten vorrangig gepatcht werden.
HTTP-Protokoll
Außerdem wird an diesem Patchday eine kritische Sicherheitslücke in Microsofts HTTP.sys geflickt. HTTP.sys ist ein Kernel-Mode-Listener, der von IIS und verschiedenen Diensten unter Windows verwendet wird. Ein Angreifer, der diese Schwachstelle ausnutzt, könnte die vollständige Kontrolle über das betreffende System gewinnen. Dieser Patch sollte auf allen Windows-Systemen, -Servern und -Desktops Vorrang haben.
Browser und Scripting-Engine
Die weiteren kritischen Microsoft-Patches betreffen vor allem Browser, die Windows-Scripting-Engine und Windows-Media-Foundation. Auf Geräten vom Typ Workstation sollten diese Patches Priorität haben.
Adobe
Adobe hat letzte Woche ein außerplanmäßiges Update für eine Schwachstelle in Flash-Player bereitgestellt. Diese wird laut Adobe bereits aktiv ausgenutzt und sollte auf Workstation-Geräten vorrangig behoben werden. Im Mai hatte Adobe ein weiteres außerplanmäßiges Update für eine Lücke in Adob- Reader herausgegeben, für die ebenfalls ein öffentlich verfügbarer Exploit existiert. Auch dieser Patch sollte auf anfälligen Workstations Vorrang haben.
Von Jimmy Graham, Qualys, in The Laws of Vulnerabilities
#Netzpalaver #Qualys