- Sind Sie bereit für einen brandneuen Stapel wichtiger Software-Updates?
- Nun, Microsoft wird sie heute im Rahmen des Patch Tuesday veröffentlichen.
- Sie können nachholen, was der Tech-Riese in den vergangenen Monaten herausgebracht hat.
- Erfahren Sie außerdem, was wir im September von der Firma Redmond erwarten können.
Der September ist da, und mit ihm kommt ein weiterer Stapel von Patch-Dienstag-Updates, auf die viele Benutzer sehnsüchtig gewartet haben.
Wie alle anderen Patch-Dienstag-Updates der letzten Monate bringen diese eine Vielzahl von Änderungen, Korrekturen und Verbesserungen für alle unterstützten Versionen des Windows-Betriebssystems.
Microsoft kündigte am Mittwoch das Vorhandensein von CVE-2021-40444 an, einer Schwachstelle, die sowohl als öffentlich offengelegt als auch als bekannt ausgenutzt gemeldet wird.
Diese besondere Sicherheitsanfälligkeit ermöglicht die Remotecodeausführung über MSHTML, eine Komponente, die von Internet Explorer und Office verwendet wird.
Was können wir vom September Patch Tuesday erwarten?
Wenn Sie sich über alles, was das in Redmond ansässige Technologieunternehmen während dieser Patch-Dienstag-Events tut, auf dem Laufenden halten möchten, erinnern Sie sich sicherlich an die Charge des letzten Monats.
Aufgrund ernsthafter Sicherheitsbedenken veröffentlichte Microsoft eine große Anzahl von Sicherheitsfixes, um einige Exploits zu beseitigen, die in der Wildnis vor sich gehen.
Redmond-Beamte haben eine detaillierte Problemumgehung hinzugefügt, um die Installation aller ActiveX-Steuerelemente im Internet Explorer zu deaktivieren, die diesen Angriff abschwächen.
Achten Sie auf ein Update, das diese Sicherheitsanfälligkeit behebt. Andernfalls müssen Sie diese Risikominderung in Betracht ziehen, um das Problem kurzfristig zu beheben, bis ein Fix veröffentlicht wird. Der CVSS 3.0-Score beträgt 8,8.
Die Zero-Day-Sicherheitslücken, die Microsoft als aktiv ausgenutzt hat, wurden im August 2021 wie folgt gepatcht:
| Schild | CVE-ID | CVE-Titel | Schwere |
|---|---|---|---|
| .NET Core und Visual Studio | CVE-2021-34485 | .NET Core- und Visual Studio-Sicherheitsanfälligkeit bezüglich Offenlegung von Informationen | Wichtig |
| .NET Core und Visual Studio | CVE-2021-26423 | .NET Core- und Visual Studio-Denial-of-Service-Sicherheitsanfälligkeit | Wichtig |
| ASP.NET Core und Visual Studio | CVE-2021-34532 | Sicherheitsanfälligkeit bezüglich Offenlegung von Informationen in ASP.NET Core und Visual Studio | Wichtig |
| Azurblau | CVE-2021-36943 | Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in Azure CycleCloud | Wichtig |
| Azurblau | CVE-2021-33762 | Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in Azure CycleCloud | Wichtig |
| Azure Sphere | CVE-2021-26428 | Azure Sphere-Sicherheitslücke bezüglich der Offenlegung von Informationen | Wichtig |
| Azure Sphere | CVE-2021-26430 | Azure Sphere Denial-of-Service-Sicherheitslücke | Wichtig |
| Azure Sphere | CVE-2021-26429 | Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in Azure Sphere | Wichtig |
| Microsoft Azure Active Directory Connect | CVE-2021-36949 | Sicherheitsanfälligkeit bei der Umgehung der Authentifizierung in Microsoft Azure Active Directory Connect | Wichtig |
| Microsoft Dynamics | CVE-2021-36946 | Sicherheitsanfälligkeit bezüglich siteübergreifender Skripterstellung in Microsoft Dynamics Business Central | Wichtig |
| Microsoft Dynamics | CVE-2021-36950 | Sicherheitsanfälligkeit bezüglich siteübergreifender Skripterstellung in Microsoft Dynamics 365 (on-premises) | Wichtig |
| Microsoft Dynamics | CVE-2021-34524 | Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Microsoft Dynamics 365 (on-premises) | Wichtig |
| Microsoft Edge (Chrom-basiert) | CVE-2021-30591 | Chromium: CVE-2021-30591 Nach der kostenlosen Verwendung in der Dateisystem-API | Unbekannt |
| Microsoft Edge (Chrom-basiert) | CVE-2021-30592 | Chrom: CVE-2021-30592 Außerhalb der Grenzen in Tab-Gruppen schreiben | Unbekannt |
| Microsoft Edge (Chrom-basiert) | CVE-2021-30597 | Chromium: CVE-2021-30597 Nach der kostenlosen Verwendung in der Browser-Benutzeroberfläche | Unbekannt |
| Microsoft Edge (Chrom-basiert) | CVE-2021-30594 | Chrom: CVE-2021-30594 Nach der kostenlosen Verwendung in der Seiteninfo-Benutzeroberfläche | Unbekannt |
| Microsoft Edge (Chrom-basiert) | CVE-2021-30596 | Chromium: CVE-2021-30596 Falsche Sicherheits-UI in der Navigation | Unbekannt |
| Microsoft Edge (Chrom-basiert) | CVE-2021-30590 | Chromium: CVE-2021-30590 Heap-Pufferüberlauf in Lesezeichen | Unbekannt |
| Microsoft Edge (Chrom-basiert) | CVE-2021-30593 | Chrom: CVE-2021-30593 Außerhalb der Grenzen in Tab Strip gelesen | Unbekannt |
| Microsoft-Grafikkomponente | CVE-2021-34530 | Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Windows-Grafikkomponente | Kritisch |
| Microsoft-Grafikkomponente | CVE-2021-34533 | Sicherheitsanfälligkeit bezüglich Remotecodeausführung beim Analysieren von Schriftarten in Windows-Grafikkomponenten | Wichtig |
| Microsoft Office | CVE-2021-34478 | Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Microsoft Office | Wichtig |
| Microsoft Office SharePoint | CVE-2021-36940 | Spoofing-Sicherheitslücke in Microsoft SharePoint Server | Wichtig |
| Microsoft Office Word | CVE-2021-36941 | Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Microsoft Word | Wichtig |
| Microsoft-Skript-Engine | CVE-2021-34480 | Sicherheitsanfälligkeit bezüglich Speicherbeschädigung in der Scripting-Engine | Kritisch |
| Microsoft Windows-Codec-Bibliothek | CVE-2021-36937 | Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Windows Media MPEG-4 Videodecoder | Wichtig |
| Remotedesktop-Client | CVE-2021-34535 | Sicherheitsanfälligkeit bezüglich Remotecodeausführung des Remotedesktopclients | Kritisch |
| Windows-Bluetooth-Dienst | CVE-2021-34537 | Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen durch Windows-Bluetooth-Treiber | Wichtig |
| Kryptografische Windows-Dienste | CVE-2021-36938 | Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in der Windows Cryptographic Primitives Library | Wichtig |
| Windows Defender | CVE-2021-34471 | Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in Microsoft Windows Defender | Wichtig |
| Windows-Ereignisverfolgung | CVE-2021-34486 | Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen bei Windows-Ereignisablaufverfolgung | Wichtig |
| Windows-Ereignisverfolgung | CVE-2021-34487 | Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen bei Windows-Ereignisablaufverfolgung | Wichtig |
| Windows-Ereignisverfolgung | CVE-2021-26425 | Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen bei Windows-Ereignisablaufverfolgung | Wichtig |
| Windows Media | CVE-2021-36927 | Windows Digital TV Tuner-Geräteregistrierungsanwendung Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen | Wichtig |
| Windows MSHTML-Plattform | CVE-2021-34534 | Sicherheitsanfälligkeit bezüglich Remotecodeausführung auf der Windows MSHTML-Plattform | Kritisch |
| Windows NTLM | CVE-2021-36942 | Windows LSA-Spoofing-Sicherheitslücke | Wichtig |
| Komponenten des Windows-Druckspoolers | CVE-2021-34483 | Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen im Windows-Druckspooler | Wichtig |
| Komponenten des Windows-Druckspoolers | CVE-2021-36947 | Sicherheitsanfälligkeit bezüglich Remotecodeausführung im Windows-Druckspooler | Wichtig |
| Komponenten des Windows-Druckspoolers | CVE-2021-36936 | Sicherheitsanfälligkeit bezüglich Remotecodeausführung im Windows-Druckspooler | Kritisch |
| Windows-Dienste für NFS ONCRPC XDR-Treiber | CVE-2021-36933 | Windows-Dienste für NFS ONCRPC XDR-Sicherheitslücke bei der Offenlegung von Treiberinformationen | Wichtig |
| Windows-Dienste für NFS ONCRPC XDR-Treiber | CVE-2021-26433 | Windows-Dienste für NFS ONCRPC XDR-Sicherheitslücke bei der Offenlegung von Treiberinformationen | Wichtig |
| Windows-Dienste für NFS ONCRPC XDR-Treiber | CVE-2021-36932 | Windows-Dienste für NFS ONCRPC XDR-Sicherheitslücke bei der Offenlegung von Treiberinformationen | Wichtig |
| Windows-Dienste für NFS ONCRPC XDR-Treiber | CVE-2021-26432 | Windows-Dienste für NFS ONCRPC XDR-Treiber Remote Code Execution-Sicherheitslücke | Kritisch |
| Windows-Dienste für NFS ONCRPC XDR-Treiber | CVE-2021-36926 | Windows-Dienste für NFS ONCRPC XDR-Sicherheitslücke bei der Offenlegung von Treiberinformationen | Wichtig |
| Windows-Speicherplatz-Controller | CVE-2021-34536 | Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen durch Storage Spaces Controller | Wichtig |
| Windows-TCP/IP | CVE-2021-26424 | Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Windows TCP/IP | Kritisch |
| Windows Update | CVE-2021-36948 | Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen im Windows Update Medic-Dienst | Wichtig |
| Windows Update-Assistent | CVE-2021-36945 | Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Windows 10 Update-Assistenten | Wichtig |
| Windows Update-Assistent | CVE-2021-26431 | Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen durch Windows Recovery Environment Agent | Wichtig |
| Windows-Benutzerprofildienst | CVE-2021-34484 | Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen im Windows-Benutzerprofildienst | Wichtig |
| Windows-Benutzerprofildienst | CVE-2021-26426 | Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen im Windows-Benutzerkontoprofilbild | Wichtig |
In diesem Monat können wir jedoch eine begrenzte Anzahl von CVEs erwarten, die über alle Betriebssysteme hinweg behandelt werden, da Microsoft aus den letzten Sommerferien zurückkehrt.
Wir haben jetzt die Hälfte der erweiterten Sicherheitsupdates (ESUs) für Windows 7 und Server 2008/2008 R2 überschritten, sodass jeder, der diese Betriebssysteme verwendet, an einem Upgrade-Schema arbeiten sollte.
Außerdem sollten wir mit der Ankündigung von CVE-2021-40444 definitiv ein Update für den Internet Explorer sehen.
Wenn Sie sich über Adobe Acrobat und Reader Gedanken machen, sollten Sie wissen, dass diese aktualisiert werden, da Adobe eine Sicherheitsempfehlung vor der Benachrichtigung bereitgestellt hat APSB21-55.
Dies sollte also ein ziemlich einfacher September-Patch-Dienstag werden, aber genießen Sie ihn, solange er dauert, denn dies ist eigentlich die Ruhe vor dem Sturm.
Wie wir wissen, werden Software-Updates in der Regel im Oktober und November vor Jahresende eingesetzt Feiertage und wir müssen auch die Unterstützung für die Veröffentlichung all dieser neuen Betriebssysteme berücksichtigen Systeme.
