Der letzten Patches von Microsoft Corp. für das Jahr 2023 steht vor der Tür und wurden veröffentlicht. Hierbei handelt es um eine relativ kleine Anzahl von Korrekturen für die Schliessung von Sicherheitslücken in ihren Windows-Betriebssystemen. Dennoch sind vier der veröffentlichten Updates als «kritisch» taxiert. Von diesen hat Microsoft gesagt, dass diese Patches die vollständige Kontrolle gewisser Malware über ein anfälliges Windows-Gerät mit wenig oder gar keiner Hilfe von Benutzern verhindert werden soll.
Unter den kritischen Sicherheitslücken welche diesen Monat behoben wurden, findet sich CVE-2023-35628, eine Schwachstelle, die Windows 10 und spätere Versionen sowie Microsoft Server 2008 und darauf folgende betrifft. Der Fehler tritt in MSHTML auf, einer zentralen Komponente von Windows, die für die Darstellung von browserbasierten Inhalten verwendet wird. MSHTML wird in verschiedenen Microsoft-Anwendungen, darunter Office, Outlook, Skype und Teams verwendet.
«Im schlimmsten Fall deutet Microsoft darauf hin, dass allein der Empfang einer E-Mail ausreichen könnte, um die Sicherheitslücke auszulösen und einem Angreifer die Ausführung von Code auf dem Zielcomputer zu ermöglichen, ohne dass der Benutzer aktiv mit den Inhalten interagiert oder sie öffnet», sagte Breen.
Eine weitere kritische Schwachstelle, die dringend Aufmerksamkeit erfordert, ist CVE-2023-35641, eine Schwachstelle für die Ausführung von Remote-Code in einer integrierten Windows-Funktion namens Internet Connection Sharing (ICS), die es mehreren Geräten ermöglicht, eine Internetverbindung zu teilen. Obwohl CVE-2023-35641 eine hohe Schwerebewertung erhielt (eine CVSS-Bewertung von 8,8), könnte die Bedrohung durch diese Lücke begrenzt sein, da ein Angreifer sich im selben Netzwerk wie das Zielgerät befinden müsste. Ausserdem ist ICS in allen Windows-Versionen seit Windows 7 vorhanden, jedoch nicht standardmässig aktiviert (obwohl einige Anwendungen es einschalten können).
Einige der heute veröffentlichten nicht kritischen Patches von Microsoft sind als «wurden wahrscheinlicher ausgenutzt» eingestuft. Zum Beispiel betrifft CVE-2023-35636 eine Schwachstelle in der Informationsauslassstelle von Outlook, die es einem Angreifer ermöglichen könnte, eine speziell gestaltete Datei zu öffnen, die per E-Mail versandt oder auf einer bösartigen Website gehostet wird.
Es erinnert an CVE-2023-23397, eine Schwachstelle zur Privilegieneskalation in Microsoft Outlook, die als Zero-Day-Angriff in der Wildnis genutzt und im Patch-Dienstag im März 2023 behoben wurde.
Wie üblich hat das SANS Internet Storm Center eine gründliche Zusammenfassung aller heute veröffentlichten Patches mit entsprechenden Schweregraden bereitgestellt. Windows-Benutzer sollten in Erwägung ziehen, ihre Daten und/oder eine Systemabbildung vor der Installation der Updates zu sichern.
Brauchen Sie Unterstützung?
Für unterstützende Leistungen bei Updates von Windows 1x, Windows Server und Exchange Server stehen wir gerne zur Verfügung.
