Ivanti Patch Tuesday im Juli – Von Sommerloch bei Microsoft keine Spur
Trotz der zwischenzeitlichen Hitzewelle ist von einem Sommerloch keine Spur. Vielmehr hat Microsoft einen wahren Update-Rundumschlag gestartet.
Insgesamt nimmt sich das Unternehmen zum Patch Tuesday 77 individuelle CVEs vor, darunter zwei Zero-Day-Schwachstellen mit bereits gemeldeten Attacken und sechs öffentlich bekannte Sicherheitslücken. Dafür gibt es Updates für Windows-OS, Office, .Net, SQL, VSTS und einen Hinweis für Microsoft Exchange Server. Zusätzlich stehen Updates für die Entwicklungsbinärdateien zur Verfügung: Azure IoT Edge, Azure Kubernetes Service, Azure Automation, Azure DevOps Server, ASP.Net Core, .Net Core und Chakra Core.
Beginnen wir die Patch Tuesday Analyse mit den bereits gemeldeten Attacken. Bei (CVE-2019-0880) wird eine Sicherheitslücke in der Rechtevergabe von splwow64 ausgenutzt, um sich eine Erweiterung der Berechtigungen zu erschleichen. Betroffen sind Windows 8.1, Server 2012 und nachfolgende Betriebssysteme. Angreifer können ihre Berechtigungsstufe von einer niedrigen auf eine mittlere Integrität hochstufen. Sobald dies geschehen ist, können Angreifer eine andere Schwachstelle ausnutzen, über die sie auch Codes ausführen können.
Angriffe auf die Rechtevergabe liegen anscheinend im Trend: denn auch bei (CVE-2019-1132) geht es wieder genau darum. In diesem Fall liegt die Schwachstelle bei Win32k und rückt damit Windows 7, Server 2008 und Server 2008 R2 ins Visier der Angreifer. Wenn es Hackern gelingt, sich am System anzumelden, dann können sie über eine weitere Schwachstelle die volle Kontrolle über das System übernehmen.
Wenig Neues zum Patch Tuesday außerhalb von Microsoft
Außerhalb von Microsoft gibt es an diesem Patch Tuesday nur eine überschaubare Anzahl von News. Mozilla veröffentlichte Updates für Firefox, wobei ESR ganze 21 Schwachstellen behebt. Die Patches werden als dringend eingestuft und beziehen sich auf Sicherheitslücken, die in Offenlegung von Informationen, Sandbox Escapes und Remote Code-Ausführung münden können.
Java verändert zum Patch Tuesday den Update-Prozess
Aber auch bei den Development Tools gibt es Neuigkeiten zum Patch Tuesday. Da die Branche den Wandel zu DevOps und die Integration mit Development-Binaries wie Java fortsetzt, gibt es einiges, dass Sie bei der Verwaltung der Schwachstellen in Ihrer Umgebung zu beachten haben. Java 11 änderte den Update-Prozess und verzichtet künftig auf Java Runtime Environment (JRE) und Java Development Kit (JDK). Bei Java-8-Anwendungen wurde die Applikation von einem Entwickler mit dem JDK erstellt. Wenn die Anwendung auf einem System implementiert wurde, musste anschließend Java JRE ausgeführt werden. In der Regel erforderte es keine Änderung, wenn Oracle ein Update veröffentlichte, allerdings musste die JRE-Instanz aktualisiert werden, um Schwachstellen zu beseitigen. Mit Java 11 werden die JRE-Komponenten direkt integriert. Bei Java 11 Updates, die Schwachstellen beheben, müssen Entwickler ihre Version des JDK aktualisieren und die Anwendung erneut erstellen, wenn sie die darin enthaltenen JRE-Komponenten einbinden wollen.
Und damit schießt sich der Kreis zum Patch Tuesday diesen Monat auch wieder mit Microsoft. Denn auch hier wurde fleißig an Updates für Entwicklungstools geschraubt, darunter.Net Core und ASP.Net Core. Auch dort muss die die SDK-Komponente aktualisiert und anschließend die Anwendung neu erstellt werden, um die Schwachstellen zu beheben. Weitere Beispiele für diese Art der Development-Binaries sind Apache Struts, ChakraCore, ASP.NET CORE, Open Enclave SDK und viele andere.