Patch Tuesday im Dezember: Kehraus zum Jahresende
Der Patch Tuesday Dezember hat eine recht überschaubare Anzahl von Updates gebracht. Microsoft hat insgesamt 32 einzigartige CVEs (Common Vulnerabilities and Exposures) vermeldet – keine davon wurde veröffentlicht oder ausgenutzt. Adobe hat zum Patch Tuesday ein Update für Flash Player herausgebracht, das eine moderate Schwachstelle auflöst. Allerdings wird dieses Update in der Priorität 2 eingestuft, weshalb Microsoft es im Rahmen des Patch Tuesday für den IE als kritisch einstufte.
Das große Softwaresterben zum Patch Tuesday Dezember
Es ist mal wieder die richtige Jahreszeit, um sich um End-of-Life-Angelegenheiten zu kümmern. Beginnen Sie also Ihre Planung für 2018 indem Sie sich einen Überblick verschaffen, welche Produkte im kommenden Jahr auf EoL umgestellt werden. Der Patch Tuesday Dezember gibt dazu einige Hinweise: Der EoL von Windows 10 1607 ist vorläufig für März 2018 geplant. Für 1703 ist vorläufig September 2018 im Gespräch. Insgesamt wurden zum Patch Tuesday Dezember 48 Microsoft-Produkte gemeldet, die 2018 ihr Support-Ende erreichen. Das Unternehmen hat alle diese Produkte in einem Artikel zusammengefasst. Daneben sind auch die Produkte verzeichnet, die für den Übergang vom Mainstream zum Extended Support vorgesehen sind. Werfen Sie für Ihre Patch-Management-Planung einen Blick in: "Products Reaching End of Support for 2018".
Patch Tuesday Dezember: Office-Schwachstelle mit richtigem Rechtemanagement zu vermeiden
Der Patch Tuesday Dezember enthält daneben ein Office-Update, das eine Sicherheitslücke in Excel schließt. Diese könnte eine Ausführung von Code durch einen entfernten Rechner ermöglichen. CVE-2017-11935 ist eine Schwachstelle in der Art, wie Microsoft Office mit Objekten im Speicher umgeht. Ein Angreifer könnte eine speziell gestaltete Datei erstellen, um Aktionen des aktuellen Benutzers auszuführen. Der Angriff könnte in Form eines E-Mail-Anhangs oder als speziell gestalteter Inhalt auf einer Website erfolgen. Der Cyberkriminelle muss nur noch den Benutzer davon überzeugen, die Datei zu öffnen, um die Sicherheitslücke auszunutzen. Die Chancen, dass er damit Erfolg hat, sind groß: Abhängig von der jeweiligen Quelle werden immer noch gut 30 Prozent aller Phishing-verseuchten Mails geöffnet. Und in 12 Prozent aller Fälle wird auf den Anhang geklickt. Sie sehen: Ihr Endnutzer stellt nach wie vor das geeignete Einfallstor für professionelle Cyberangriffe da. Einem Angriff über die CVE-2017-11935 ließe sich jedoch bereits mit einem adäquaten Rechtemanagement begegnen.
Schwerpunkt im Patch Tuesday Dezember: Updates für Microsoft Browser
Die im Rahmen des Patch Tuesday vorgestellten CVEs betrafen im Gros die Microsoft-Browser. Räumen Sie also den Updates für den IE- sowie den Edge-Browser eine hohe Priorität ein. Kümmern Sie sich daneben auch um das bereits erwähnte Office-Update und ignorieren Sie ebenfalls die Patches für Exchange und SharePoint nicht. Das zum Patch Tuesday Dezember vorgestellte Exchange-Update wirkt sich auf den Outlook Web Access (OWA) aus. Es löst eine CVE, die sich jedoch nur recht kompliziert ausnutzen lässt. Allerdings kann sie in Verbindung mit anderen CVEs als Dreh- und Angelpunkt verwendet werden, um einen verketteten Angriff zu starten. SharePoint enthält ebenfalls eine CVE, die Cross Site Scripting-Angriffe zulassen. Mit ihrer Hilfe könnte eine Erhöhung der Zugriffsrechte möglich sein.
Wie jeden Monat stellen wir Ihnen auf der Patch Tuesday Webseite von Ivanti eine detaillierte Analyse der Updates vor. Melden Sie sich ebenfalls zu unserem Patch Tuesday Webinar an, das am 13.12.2017 um 17.00 Uhr beginnt.