Wichtige Sicherheitspatches wurden zum Patchday von Microsoft
über Windows Update zur Verfügung gestellt. Unter anderem
wurde eine von unbekannten Angreifern ausgenutzte Lücke in
Windows geschlossen. Weitere Patches betreffen etwa Azure, Edge,
Office und SharePoint Server.
Die Absicherung gegenüber Attacken, die die MSHTML-Lücke
(CVE2021-40444 "hoch") ausnutzen, war bisher nur über
Workarounds möglich. Laut Aussagen verschiedener Sicherheitsforscher
sicherten diese jedoch auch nicht in allen Fällen zuverlässig
ab. Einer
Warnmeldung von Microsoft zufolge sind nun Sicherheitsupdates
für alle Windows- und Server-Versionen erschienen, die die
Lücke schließen sollen.
Eine weitere Schwachstelle
(CVE-2021-36968 "hoch") in Windows DNS wurde ebenfalls
mit den Patches geschlossen. Attacken sollen lokal möglich
sein, wobei ein Angreifer entweder physischen Zugriff, oder Zugriff
per SSH auf einen Computer haben muss. Infolge eines erfolgreichen
Angriffs könnten Angreifer höhere Nutzerrechte erlangen.
Open
Management Infrastructure (OMI) (CVE-2021-38647), Windows Scripting
Engine (CVE-2021-26435) und Windows WLAN AutoConfig Service (CVE-2021-36965)
sind von "kritischen" Lücken betroffen. Angreifer
sollen Schadcode einschleusen und ausführen können. Bei
der OMI-Lücke soll das Versenden einer präparierten Nachricht
an verwundbare Systeme ausreichen - so Microsoft.
Die verbleibenden Lücken wurden zum Großteil mit "hoch"
eingestuft. Darunter auch einige Office-Lücken, die die Ausführung
von eigenem Code auf Systemen ermöglichen. Auch Scripting Engine
und Win32k sind von Schwachstellen betroffen. Für die PrintNightmare-Lücke
(CVE-2021-36958 "hoch") wurden ebenfalls weitere Patches
veröffentlicht.
(jb, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|