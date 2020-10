Zum Patch Tuesday im Oktober hat Microsoft insgesamt 87 Sicherheitslücken geschlossen. 11 gelten als kritisch, die Risikoeinstufung der übrigen ist (mit einer "Moderate"-Ausnahme) durchweg hoch.

Updates gibt es für Windows, aber auch für Azure, Dynamics, Exchange Server, die JET Database Engine, das .NET Framework, Office nebst Komponenten, diverse in die Produkte integrierte Open Source Software, PowerShellGet, Visual Studio und die Windows Codecs Library. Auch aus Adobes Flash Player (ausgeliefert mit diversen Windows-Versionen) wurde eine Sicherheitslücke entfernt, die wir in einer separaten Meldung thematisieren.

Über aktive Angriffe auf die beseitigten Sicherheitslücken ist nichts bekannt, allerdings gibt es im Falle mehrerer Lücken mit Important-Einstufung bereits öffentlich verfügbaren Exploit-Code. Wie immer ist es ratsam sicherzustellen, dass die Updates je nach Systemkonfiguration zeitnah automatisch (etwa via Windows Update) oder manuell installiert werden.

Angriffe aus der Ferne vielfach möglich

Die 11 als kritisch eingestuften Lücken sind durchweg aus der Ferne ausnutzbar. Angreifer könnten etwa schädlichen Programmcode auf verwundbaren Systemen ausführen und diese in einigen Fällen auch vollständig übernehmen. Dazu ist mitunter allerdings eine Nutzerinteraktion wie etwa der Besuch einer präparierten Website oder das Öffnen eines schädlichen Dokuments notwendig. Microsofts Advisories zu den kritischen Lücken haben wir hier aufgelistet:

Einen (filterbaren) Gesamtüberblick über die verfügbaren Updates liefert Microsofts Security Update Guide. Außerdem empfiehlt sich ein Blick in Microsofts Release Notes zu den October 2020 Security Updates. Darin listet das Unternehmen Security Advisories zu Updates auf, bei denen teilweise zusätzliche Schritte notwendig sind oder anderweitige Zusatzinformationen bereitstehen. Außerdem gibt es eine Übersicht über bereits bekannte Probleme mit einzelnen Updates. In den Release Notes betont Microsoft auch die Wichtigkeit regelmäßiger Stack Servicing Updates (SSU), um Update-Problemen vorzubeugen.

Update 14.10.20 14:12:

Ein aktueller Blogeintrag des Sicherheitssoftware-Herstellers Sophos befasst sich näher mit der kritischen Sicherheitslücke CVE-2020-16898. Der Hersteller demonstriert im Video einen selbst entwickelten Proof-of-Concept-Angriff, in dem über die Lücke ein "Blue screen of death" verursacht wird. Den Exploit-Code will der Hersteller nicht veröffentlichen, um Angreifern nicht in die Hände zu spielen; allerdings verdeutlicht das Video die grundsätzliche "Exploitbarkeit" und die Dringlichkeit eines zeitnahen Updates.

