Microsoft behebt zum Patch Tuesday im Februar 99 CVEs. Die gute Nachricht: Der Großteil wird mit wenigen Microsoft-Updates behoben, die mit der Aktualisierung des Betriebssystems ausgeliefert werden. Neben Microsoft gibt es zum Patch Tuesday auch Updates von Adobe und Mozilla.
Im Schnitt beheben die Windows Betriebssystem-Updates zum Patch Tuesday bereits die Hälfte der 99 bekannten Sicherheitslücken. Bei Windows 10 sind es in Verbindung mit IE und Edge sogar 88 CVEs. IT-Verantwortliche sollten den Patch Tuesday daher vor allem nutzen zu prüfen welche der CVEs sie mit besonderer Dringlichkeit behandeln müssen.
Der Patch Tuesday wartet mit einer Zero-Day Schwachstelle auf (CVE-2020-0674), die erstmals im letzten Monat mit einem Sicherheitshinweis (ADV200001) versehen wurde. Fünf der CVEs (einschließlich des Zero-Day) wurden öffentlich bekannt gegeben. Angreifern stehen somit genügend Informationen zur Verfügung herauszufinden, wie sie ausgenutzt werden können. Durch die Aktualisierung des Betriebssystems oder der Browser mit ein paar Patches pro System lässt sich der Großteil des Risikos an diesem Patch Tuesday ausräumen.
Wenig Arbeit für die IT!
Die wirklich gute Nachricht bei all dem ist, dass die 99 CVEs an diesem Patch Tuesday nicht viel zusätzliche Arbeit für die Administratoren bedeuten. Die regulären Updates gelten weiterhin. Betriebssystem, Browser und Office werden die meisten Ihrer Schwachstellen von der Microsoft-Seite aus beheben. Lediglich Administratoren, die sich um SQL und Exchange kümmern, erhalten diesen Monat ein wenig zusätzliche Arbeit, da beide Produkte in den veröffentlichten Updates enthalten sind.
Zwei Versionen von Microsoft Edge
Im Februar 2020 gibt es die ersten Sicherheitsupdates für die neue Edge-Chromium-Browser-Edition. Mit ihm existieren nun zwei Editionen von Edge - die in Windows 10 integrierte HTML-Version und die neue Chromium-Edition, die IT-Verantwortliche auf Wunsch installieren können.
Microsoft kündigt erweiterten Support an
Eine weitere bemerkenswerte Nachricht an diesem Patch Tuesday – nennen wir es Diskrepanz – ist die Ankündigung erweiterten Supportes. Windows 7, Server 2008 und 2008 R2 ESU-Updates werden noch öffentlich dokumentiert und sind im Standard-WSUS-Katalog aufgeführt. Dies bedeutet allerdings nicht, dass jeder Zugang hat. Die IT-Abteilung benötigt nach wie vor eine ESU bei Microsoft, um die spezifischen Kriterien für die kostenlosen Optionen zu erfüllen, die Microsoft in den Windows 7 ESU-FAQ dargelegt hat. Außerdem gibt es einen ESU-Lizenzvorbereitungs-Patch, der Folgendes besagt:
"Dieses Update bietet den vollständigen Satz an Lizenzierungsänderungen, um die Installation des ESU MAK-Zusatzschlüssels zu ermöglichen, der einer der Schritte zur Vorbereitung der Installation von erweiterten Sicherheitsupdates ist. (Für die zu befolgenden Schritte siehe KB4522133). Nach der Installation dieses Updates ist ein Neustart erforderlich."
Dieser zusätzliche Patch zur Lizenzvorbereitung bedeutet, dass IT-Mitarbeiter zum Patch Tuesday vier Dinge bezüglich Ihrer ESU-Ziele überprüfen müssen, um sicherzustellen, dass sie in der Lage sind, ohne Probleme zu patchen. Die IT muss sicherstellen, dass die SHA-2-Support-Updates angewendet werden, dass die Voraussetzungen für das Service Stack-Update erfüllt werden, dass der neue Patch zur Lizenzvorbereitung auf die Systeme übertragen und dass der ESU-Lizenzschlüssel installiert wurde.
Neues von Adobe und Mozilla
Adobe hat an diesem Patch Tuesday 17 CVEs für Adobe Reader und Acrobat (APSB20-05) und einen CVE für Flash Player (APSB20-06) behoben. Damit bringt der Patch Tuesday im Februar das erste Sicherheitsupdate für Flash Player im Jahr 2020 und auch das erste seit September 2019. Das Patch Tuesday Update für Adobe Acrobat Reader umfasst 12 kritische CVEs, und auch die CVE für Flash Player gilt als kritisch. Wir empfehlen, diesen beiden Updates an diesem Patch Tuesday Vorrang einzuräumen. Microsofts Veröffentlichung von Flash Player deckt die neuesten Ausgaben von Windows ab. Das Flash Player-Update wird nur unter Windows 8.1 und Server 2012 und höher unterstützt.
Mozilla hat Updates für Firefox, Firefox ESR und Thunderbird veröffentlicht und löst 6, 5 bzw. 7 CVEs auf. Die beiden Firefox-Aktualisierungen werden von Mozilla mit einem hohen Schweregrad und die Thunderbird-Updates mit einem moderaten Schweregrad bewertet. Diese Updates sind zwar nicht dringend, aber Administratoren sollten sie im Rahmen Ihrer normalen monatlichen Wartungsarbeiten durchführen lassen.
Über Ivanti
Ivanti: Die Stärke der Unified IT. Ivanti verbindet die IT mit dem Sicherheitsbetrieb im Unternehmen, um den digitalen Arbeitsplatz besser zu steuern und abzusichern. Auf PCs, mobilen Geräten, virtualisierten Infrastrukturen oder im Rechenzentrum identifizieren wir IT-Assets – ganz gleich, ob sie sich On-Premise oder in der Cloud verbergen. Ivanti verbessert die Bereitstellung des IT-Services und senkt Risiken im Unternehmen auf Basis von Fachwissen und automatisierten Abläufen. Durch den Einsatz moderner Technologien im Lager und über die gesamte Supply Chain hinweg hilft Ivanti dabei, die Lieferfähigkeit von Firmen zu verbessern – und das, ohne eine Änderung der Backend-Systeme.
Ivanti hat seinen Hauptsitz in Salt Lake City, Utah, und betreibt Niederlassungen auf der ganzen Welt. Weitere Informationen finden Sie unter www.ivanti.de. Folgen Sie uns über @GoIvanti.