Der Patch Tuesday ist noch nicht tot
Trotz der Veröffentlichung von Windows 10 und dem ganzen Gerede über verbindliche Updates ist heute immer noch Patch Tuesday. Und diesen Monat sollte jeder darauf Acht geben. Denn Microsoft hat am Dienstag ein ganzes Sammelsurium an Security-Patches und Fehlerlösungen zur Verfügung gestellt – da ist für jeden etwas dabei. Von Office- und Browser-Anwendungen bis hin zu Desktops und Servern hat Microsoft mit 14 Bulletins alles abgedeckt. Einige davon sind für Windows 10, aber der Großteil ist – wie zu erwarten war – noch für frühere Versionen des Betriebssystems bestimmt. Aber ganz egal welche Version von Windows Sie nutzen: es ist Zeit zu Patchen – mal wieder.
Von den 14 Bulletins sind vier als kritisch eingestuft. Die August-Patches richten sich an insgesamt 58 CVEs, obwohl sechs davon auf mehrere Bulletins verteilt sind. Wenn Sie Windows 10-Nutzer sind, hat Microsoft für Sie alle dieser sechs Fehlerbehebungen in einem einzigen kumulativen Update zusammengefasst.
Ganz oben auf Ihrer Prioritätenliste sollte MS15-081 stehen. Dieses kritische Update schließt acht CVEs in Office 2007, 2010 und 2013 – und Exploits werden in den Office-Anwendungen momentan ja reichlich entdeckt.
Als zweites sollten Sie Ihr Augenmerk auf MS15-079 richten, ein kritisches, kumulatives Update für den Internet Explorer, das sich an 13 CVEs richtet. Durch Userinteraktion konnten Angreifer bisher erfolgreich eine Remote Code Execution ausführen, wodurch sie vollständige Nutzerrechte erlangen konnten.
Apropos Webbrowser: Wenn Sie Windows 10 verwenden, gibt es für Sie bereits das erste Update für Microsofts neuen Browser Edge. Edge, der als neuer Internet Explorer gilt, hat schon jetzt unter Attacken zu leiden – ein Problem, um das sich das kritische Update MS15-091 kümmert. Und alle, die immer noch Adobe Flash verwenden, sollten das Update APS15-19 ausführen. Erst heute veröffentlicht, behebt dieses Update 34 Sicherheitsrisiken des Flash Players, inklusive Flash Player für Edge. Momentan sind zwar noch keine Sicherheitslücken bzgl. Flash Player für Edge bekannt, aber lange wird es wohl nicht dauern, bis die ersten die Runde machen.
Für alle, die frühere Versionen von Windows nutzen, steht MS15-080 auf Rang drei der Prioritätenliste. Dies ist ein weiterer kritischer Patch, der 16 Sicherheitslücken bei .NET, Office, Lync und Silverlight in allen Versionen des Betriebssystems schließt.
Zu guter Letzt sollte noch MS15-085 auf Ihrer Liste stehen, obwohl er von Microsoft nur als wichtig und nicht als kritisch eingestuft wurde. Dieses Update adressiert CVE 2015-1769 im Mount Manager. Durch diese Sicherheitslücke konnten Angreifer z.B. durch einen infizierten USB eine Ausweitung der Zugriffsrechte erzielen.
Seit der Veröffentlichung von Windows 10 am 29. Juli bereitet die neue Aktualisierungspolitik von Microsoft vielen Nutzern Kopfschmerzen, denn Updates müssen nun installiert werden, ob man will oder nicht. Bei Update KB3081424, das letzte Woche veröffentlicht wurde, gab es Berichten zufolge einige Probleme. In Foren wurde darüber berichtet, dass die Installation nach einiger Zeit mehrfach abgebrochen wurde, wodurch das System immer wieder neustarten musste. Wenn Sie also das neue Windows 10 nutzen, seien Sie vorsichtig. Gehen Sie bei dem neuen kumulativen Update-Ansatz auf Nummer sicher, indem Sie Ihre IT-Umgebung zuerst ausgiebig testen, bevor Sie dieses „Alles oder Nichts“-Update ausführen.