Patchday August – 63 Schwachstellen

Qualys-Patch-TuesdayIn diesem Monat werden am Patchday 63 Sicherheitslücken gestopft, darunter 20 kritische. Mehr als die Hälfte der kritischen Lecks verbergen sich in den Browsern; die anderen betreffen Windows, SQL und Exchange. Aktive Exploits wurden gegen die CVE-2018-8373 gefunden, eine der Schwachstellen in der Scripting-Engine.

Patches für Workstations

Die Patches für die Browser und die Scripting Engine sollten auf Geräten vom Typ Workstation Priorität erhalten – das heißt auf allen Systemen, die für E-Mail oder für Internetzugriffe über einen Browser verwendet werden. Da es für die CVE-2018-8373 laut Microsoft aktive Exploits gibt, mit denen der Internet Explorer angegriffen wird, sind diese Patches vordringlich. Für den PDF Viewer, die Windows Schriftenbibliothek und GDI+ werden ebenfalls Updates bereitgestellt. Diese schließen Lücken, für deren Ausnutzung ein Anwender mit einer bösartigen Website oder Datei interagieren muss.

Remotecodeausführung via LNK

Bei der Verarbeitung von Verknüpfungen in Windows besteht eine Sicherheitslücke (CVE-2018-8345). Der entsprechende Patch ist sowohl für Workstations als auch Server wichtig, da die Lücke ausgenutzt werden kann, ohne dass der Benutzer eine Datei anklickt. Die bloße Anzeige einer bösartigen LNK-Datei reicht aus, um Code auszuführen und dem Angreifer die gleichen Rechte zu verschaffen, wie sie der lokale Benutzer hat.

Microsoft Exchange

In Exchange wurde eine Sicherheitslücke entdeckt (CVE-2018-8302), die bewirken kann, dass Code im Kontext des Systembenutzers ausgeführt wird. Zur Ausnutzung dieser Schwachstelle ist Zugriff auf das Postfachkonto-Setup erforderlich; nicht privilegierte Benutzer können die Lücke nicht missbrauchen.

Microsoft SQL 2016/2017

In Microsoft SQL wird ebenfalls ein Sicherheitsleck geschlossen (CVE-2018-8273), das Remotecodeausführung ermöglicht. Um diese Lücke ausnutzen zu können, muss der Angreifer SQL-Abfragen ausführen können. Dies könnte ihm allerdings gelingen, indem er zusätzlich eine bestehende SQL-Injection-Schwachstelle in einer Webanwendung ausnutzt.

L1 Terminal Fault (Foreshadow)

Jimmy Graham, Director of Product Management bei Qualys, in The Laws of Vulnerabilities
Jimmy Graham, Director of Product Management bei Qualys, in The Laws of Vulnerabilities

Microsoft hat einen  Leitfaden  zu neuen Sicherheitslücken durch spekulative Codeausführung in Intel-Prozessoren veröffentlicht sowie eine vollständige technische Analyse, die auch Empfehlungen zur Abhilfe enthält. Patches wurden veröffentlicht, für die allerdings die Registry konfiguriert werden muss, damit alle Problembehebungen wirksam werden. Über diese Sicherheitslücke, die dem Meltdown-Bug ähnelt, können VM-Gäste Daten anderer Gäste auslesen; außerdem ist auch ein Auslesen von Prozess zu Prozess möglich.

Adobe

Auch Adobe hat Patches veröffentlicht, die Sicherheitslücken in  Flash, Acrobat/Reader, Experience Manager  und  Creative Cloud  schließen. Zwei Lücken in Acrobat und Reader sind als kritisch bewertet. Das Flash-Update wird von Adobe als wichtig eingestuft, von Microsoft dagegen als kritisch.

Qualys-Netzpalaver-Verweis (1)