In diesem Monat werden am Patchday 61 Sicherheitslecks gestopft, von denen 17 kritisch sind. Die meisten kritischen Lücken stecken in den Browsern, die restlichen in Windows, Hyper-V und .net Framework. Eine Schwachstelle (CVE-2018-8475) in der Bildanalyse von Windows war bereits im Vorfeld öffentlich bekannt gemacht worden, ebenso eine Sicherheitslücke (CVE-2018-8457) in der Scripting-Engine.
Workstation-Patches
Die Browser-Updates und die Patches für die Scripting Engine sollten auf Workstation-Geräten Vorrang haben, also auf allen Systemen, die für E-Mail oder für Internetzugriffe via Browser genutzt werden. Updates gibt es auch für den PDF Viewer, die Windows Bildanalyse, .net Framework und die Windows Schriftenbibliothek. Diese Updates schließen Sicherheitslücken, die missbraucht werden können, wenn ein Nutzer mit einer manipulierten Website oder Datei interagiert. Da zwei dieser Schwachstellen schon vorab veröffentlicht wurden, ist es wichtig, die Patches für Windows Workstations zu priorisieren.
Ausbruch aus dem Hyper-V Hypervisor
In Hyper-V werden zwei Schwachstellen beseitigt, die einem authentifizierten Nutzer auf einem Gastsystem die Möglichkeit geben können, auf dem Hostsystem beliebigen Code auszuführen. Laut Microsoft ist ein Ausnutzen dieser Schwachstelle zwar weniger wahrscheinlich, aber dennoch sollten diese Patches auf Hyper-V-Systemen Vorrang haben.
FragmentSmack
Für FragmentSmack gibt es noch keinen Patch. Microsoft hat jedoch Sicherheitsempfehlungen für diesen Bug herausgegeben, der Denial-of-Service-Angriffe auf den IP-Stack ermöglicht.
0-Day in ALPC
Das Update-Paket in diesem Monat umfasst auch einen Patch für die Zero-Day-Lücke, die wir im gestrigen Blogeintrag erwähnt haben. Die Lücke ermöglicht eine lokale Rechteerweiterung, und es wurden bereits aktive Angriffe entdeckt, die sie ausnutzen.
Adobe
Adobe hat Patches für Flash und Coldfusion veröffentlicht. Während Adobe die CVE 2018-15967 als „wichtige“ Schwachstelle mit Rechteerweiterung für Flash einstuft, bewertet Microsoft sie als kritische Schwachstelle mit Remotecodeausführung. Die Coldfusion-Patches beseitigen 9 CVEs, von denen sechs als kritisch gelten. Ende August hatte Adobe zudem außerplanmäßige Patches für Adobe Photoshop CC und Creative Cloud veröffentlicht. Zwei Photoshop-CVEs werden als kritisch eingestuft und eine Lücke in Creative Cloud als wichtig.
Von Jimmy Graham in The Laws of Vulnerabilities
#Netzpalaver #Qualys