Weihnachten steht vor der Tür – doch die großen Software-Hersteller haben ihre Anwender nicht mit unerwarteten Update-Paketen überrascht. Tatsächlich sind die Aktualisierungen weitgehend wie vorhergesagt.

IT-Security News: Der Patch Tuesday im Überblick

Mit dem Dezember Patch Tuesday behebt Microsoft 39 verschiedene IT-Security Schwachstellen in 17 Updates. Dazu gehören eine Zero-Day-Lücke und eine bekannte Schwachstelle. Betroffen sind Windows, Office, Sharepoint, .Net Framework, Exchange Server und die Browser. Adobe hat ein kritisches Acrobat- und Reader-Update veröffentlicht, das 87 Lücken stopft. Zudem werden im Adobe Flash Player zwei Zero-Day-Schwachstellen ausgebessert. Mozilla hat Updates für FireFox und FireFox ESR für 11 Schwachstellen veröffentlicht.

Unerlaubter Zugriff auf Windows

Die am Patch Tuesday Dezember behobene Zero-Day-Schwachstelle im Windows-Kernel (CVE-2018-8611) ermöglicht es Angreifern, die Zugriffsrechte zu erweitern. Dadurch können sie beliebigen Code im Kernel-Modus ausführen. Hierfür meldet sich der Hacker zunächst am System an. Im Anschluss startet er eine speziell entwickelte Anwendung, um die Kontrolle über das betroffene System zu übernehmen. Diese Sicherheitslücke besteht in allen aktuell unterstützten Windows-Betriebssystemen von Windows 7 bis Server 2019. Obwohl sie bereits auf älteren Betriebssystemen ausgenutzt wurde, gilt sie auch bei Windows 10 und Server 2019 als kritisch.

DoS-Attacke auf .Net-Webanwendungen

Die Schwachstelle im .Net Framework (CVE-2018-8517), die am Patch Tuesday behoben wurde, ermöglicht einen Denial-of-Service in darauf basierenden Webanwendungen. Sie lässt sich ohne Authentifizierung aus der Ferne ausnutzen, indem eine speziell gestaltete Anfrage an die anfällige Anwendung gesendet wird. Diese Angriffsmethode ist zwar recht komplex. Aber aufgrund der öffentlich bekannten Schwachstelle stehen genügend Informationen zur Verfügung, um Kriminellen einen gewissen Vorsprung zu geben. Außerdem erhöht sich damit die Wahrscheinlichkeit eines Exploits.

Zwei Updates von Adobe

Neben den Updates von Microsoft sollten Sie auch die Aktualisierungen von Adobe installieren, um die IT-Security zu verbessern. Bereits im Vorfeld des Patch Tuesday wurden zwei Zero-Day-Schwachstellen in Flash Player behoben. Am 20. November war dies für CVE-2018-15981 mit dem Bulletin APSB18-44 der Fall. Die Lücke wurde bei Live-Exploits festgestellt. Dabei nutzte eine spezielle Flash.swf-Datei die Schwachstelle aus, um Malware zu installieren. Die zweite Sicherheitslücke (CVE-2018-15982) stopfte Adobe am 5. Dezember (APSB18-42). Sie wurde im Rahmen einer weitverbreiteten Kampagne beobachtet, die ActiveX – eingebettet in ein Microsoft-Office-Dokument – nutzte.

Diese Patches sollten Sie prioritär behandeln

  • Eine hohe Priorität sollten Sie an diesem Patch Tuesday den Microsoft-Betriebssystem-Updates geben, vor allem wegen der Zero-Day-Lücke im Windows-Kernel.
  • Auch die beiden Zero-Day-Schwachstellen in Adobe Flash für Desktop, IE, Chrome und anderen Varianten sind dringend zu beheben. Beachten Sie dabei: Systeme können mehrere Instanzen von Flash Player besitzen, daher sind alle diese Instanzen zu aktualisieren.
  • Die Updates von Adobe Acrobat Reader und Acrobat beheben viele Angriffspunkte und sollten Sie so schnell wie möglich einspielen.
  • Mozilla Firefox schließt mehrere kritische Schwachstellen, die sich auf einfache Weise für Angriffe auf Nutzer verwenden lassen.

Weitere IT-Security News: Support für Java SE 8 endet

Denken Sie daran, dass ab Januar 2019 keine öffentlichen Updates mehr für Java SE 8 bereitstehen. Die als nächste geplante langfristig unterstützte Version ist Java SE 11. Falls Sie noch nicht damit begonnen haben, sollten sie jetzt mit der Migration starten. Ist dies nicht möglich, stellt Oracle private Updates gegen Aufpreis zur Verfügung.

Bleiben Sie in Sachen IT-Security auf dem Laufenden, indem Sie die Landing Page von Ivanti zum Patch Tuesday besuchen. Dort erhalten Sie ständig aktualisierte Analysen. Melden Sie sich auch für unser monatliches Patch Tuesday Webinar an.