Patch Tuesday im Januar: milde Großwetterlage am IT-Sicherheits-Himmel
Anders als in Teilen Süddeutschlands, hält das neue Jahr zum Patch Tuesday bislang keine Wetterkapriolen bereit. Es gibt hauptsächlich kleinere Nachbesserungen bei Microsoft und ein Ende des Java SE 8 Supports.
IT-Security News: Der Patch Tuesday im Überblick
Microsoft hat Updates für das Windows-Betriebssystem, den Internet Explorer, Edge, Office, Sharepoint, .Net Framework und Exchange veröffentlicht. Dabei hat das Unternehmen insgesamt 47 Einzelschwachstellen behoben, von denen die Mehrzahl nur als „wichtig“ eingestuft wurde. Lediglich sieben der gelösten CVEs wurden als „kritisch“ eingestuft. Diese wurden für Windows 10 und Server 2019 sowie Chakra Core und den Edge-Browser bereitgestellt.
In der Öffentlichkeit bekannte Sicherheitslücke
Es gibt in diesem Monat eine öffentlich bekannt gewordene Schwachstelle, nämlich CVE-2019-0579, die nur als wichtig eingestuft wurde, obwohl sie alle Windows-Betriebssysteme betrifft – hier speziell die Jet Database Engine. Sie ermöglicht es Angreifern, Schadcode remote auf dem System des Opfers auszuführen. Dafür bringen sie den Systemnutzer dazu, eine eigens zu diesem Zweck erstellte Datei zu öffnen. Obwohl sie nur als „wichtig“ gilt, sollte bedacht werden, dass diese Sicherheitslücke bereits bekannt ist. Dies erhöht die Wahrscheinlichkeit, dass Angreifer sie ausnutzen.
Patch Tuesday mit Service-Stack Update
Als einziges Service-Stack Update aktualisierte Microsoft den Service-Stack für Windows 10 1703. Dabei handelt es sich um eine Aktualisierung der Update-Funktion des Systems. Mit anderen Worten: Ohne diese Aktualisierung können wohl keine ordnungsgemäßen Systemänderungen oder zukünftigen Updates durchgeführt werden. Diese Wartung erfolgt unabhängig von den regulären Updates. Lesen Sie hier alles Wissenswerte über die Wartung von Stack-Aktualisierungen.
Patch Tuesday schließt Schwachstelle im Internet Explorer
Prüfen Sie, ob Sie den im Dezember nachträglich erschienenen Internet Explorer Patch schon installiert haben. Am 19. Dezember veröffentlichte Microsoft diesen Notfall-Patch, um eine Zero-Day-Schwachstelle in der Scripting-Engine des Internet Explorers zu beheben. Die Jscript-Schwachstelle (CVE-2018-8653) ermöglicht es Angreifern, die Scripting-Engine im IE zu nutzen, sobald eine bösartige Website geöffnet wird. Nachdem dies erfolgte, kann der Angreifer die Kontrolle über das System mit allen Rechten des Benutzers übernehmen.
Wenn Sie also die Updates des letzten Patch Tuesday eingespielt haben, aber die zusätzliche Aktualisierung noch nicht, sollten Sie sicherstellen, dass alle Ihre Windows-Systeme entweder mit dem gesammelten kumulativen Januar-Update oder dem IE-Update so schnell wie möglich versehen werden.
Adobe Flash Player
Abseits von Microsoft ist es noch relativ ruhig. Letzte Woche wurde von Adobe ein Update für Adobe Acrobat und Reader (APSB19-02) veröffentlicht. Dieses hat zwei kritische Schwachstellen behoben. Später erschien ein Patch für Adobe Flash Player. Dieser enthielt aber keine Sicherheitsupdates. Also sind sie mit der Dezember-Version APSB18-42 noch sicher.
Einstellung des Java SE 8 Supports
Im Rahmen des Viertel-Jahres-Zyklus von Oracle sind am 15. Januar für alle relevanten Oracle-Programme wichtige Updates zu erwarten. Informieren Sie sich über die zukünftigen Änderungen des Java Supports. Für Java SE 8 wird es das letzte veröffentlichte Update sein. Danach müssen Sie Java 8 oder Java 11 JDK aufspielen.
Bereits am 17. September 2018 gab Oracle bekannt, dass das Ende des Java SE 8 Supports für Januar 2019 geplant ist. Die Aktualisierung für Java SE 8 war bisher das Upgrade auf Java SE 10, aber dieses wurde Ende September 2018 letztmals durchgeführt. Der neue Patch ist also ein Upgrade auf Java JDK 11, da es keine separate JRE mehr geben wird.
In JDK 11 sollen die Softwareentwickler nur die für ihre spezifische Anwendung notwendigen Module mit jlink oder jmod zusammenstellen. Dies wird die Art und Weise, wie sie ihre Java-Anwendungen nutzen, verändern. Für viele Unternehmen sind die Details noch etwas unklar. Als Patch-Administrator sollten dies Ihre größten Sorgen sein:
Wie lange dauert es, bis Sie ältere Java-JREs aus Ihrer Umgebung entfernen können? Mit der Zeit werden diese zu einem Sicherheitsrisiko. Veraltete Software ist die Ursache für viele Sicherheitsvorfälle.
Wie werden im Rahmen dieses neuen Modells Sicherheitsschwachstellen identifiziert und wie schnell werden die Entwicklungsteams Updates herausgeben? Wie wird dann dieses Update verteilt?
Bleiben Sie in Sachen IT-Security auf dem Laufenden, indem Sie die Landing Page von Ivanti zum Patch Tuesday besuchen. Dort erhalten Sie ständig aktualisierte Analysen. Melden Sie sich auch für unser monatliches Patch Tuesday Webinar an.