
Infolge der Bekanntgabe von Meltdown und Spectre* hat Microsoft letzte Woche mehrere Patches mit der Einstufung „wichtig“ herausgegeben. Obwohl es derzeit keine aktiven Angriffe auf diese Sicherheitslücken gibt, sollte wegen potenzieller Angriffe mittels JavaScript auf jeden der Browser-Patches besonderes Augenmerk gelegt werden.
Zu beachten ist, dass die Betriebssystem- und BIOS-Patches (Mikrocode), die zur Entschärfung von Meltdown und Spectre dienen, zu Performance-Problemen führen können. Es ist wichtig, alle Patches vor der Installation zu testen.
Einige dieser Updates sind inkompatibel mit Antivirus-Software von Drittanbietern und können es erforderlich machen, den Virenschutz auf Workstations und Servern zu aktualisieren. Microsoft hat Leitfäden sowohl für Windows Clients als auch Server veröffentlicht. Windows Server erfordert Registry-Änderungen, um die Schutzmechanismen zu implementieren, die durch die Patches hinzugefügt werden.
Zudem hat Microsoft die Bereitstellung von Patches für einige AMD-Systeme gestoppt, weil es nach der Installation auf den Systemen zu Problemen kam.
Neben diesen Patches hat Microsoft heute noch weitere Updates veröffentlicht, die 56 Sicherheits-lücken schließen. 16 dieser Lücken werden als „kritisch“ eingestuft, und 28 können potenziell Remotecodeausführung ermöglichen.
Der heutige Release umfasst Patches sowohl für Microsoft Word als auch Outlook, die auf Geräten vom Typ Workstation ebenfalls Priorität erhalten sollten. Die Mehrzahl der heute veröffentlichten Patches sind für die Browser vorgesehen und betreffen die Scripting Engine. Diese Patches sollten auf Systemen Vorrang erhalten, die über einen Browser auf das Internet zugreifen.
Prioritätenordnung für die Patches:
1. CVE-2017-5753 – Bounds Check Bypass (Spectre)
2. CVE-2017-5715 – Branch Target Injection (Spectre)
3. CVE-2017-5754 – Rogue Data Cache Load (Meltdown)
4. CVE-2018-0793 – Outlook
5. CVE-2018-0794 – Word
6. (Mehrere CVEs) – Browser-Patches (Skriptmodul)
Adobe hat ein Update für Flash Player veröffentlicht und diesem die Prioritätsstufe 2 zugewiesen, was bedeutet, dass es derzeit keine aktiven Angriffe gibt und auch keine Angriffe in unmittelbarer Zukunft zu erwarten sind. Microsoft stuft diese Schwachstelle auf den Systemen, die Flash-Updates über Microsoft erhalten, als „kritisch“ ein.
Gepostet von Jimmy Graham in The Laws of Vulnerabilities
Jimmy Graham, Director of Product Management AssetView at Qualys
Foto: https://pixabay.com/de/
Fachartikel

McDonald’s: Schwache Zugangsdaten legen 64 Millionen Bewerbungen offen

FoxyWallet: Über 40 schadhafte Firefox-Erweiterungen tarnen sich als Krypto-Tools

SAP-Patch-Tag im Juli 2025: Rekordzahl an Patches und kritische Deserialisierungslücken

Unsicherer Systemstart: Sicherheitslücke in initramfs erlaubt Umgehung von Linux-Bootschutz

SAP Patch Day: Juli 2025
Studien

PwC-Studie: Compliance neu denken – Tempo schlägt Bürokratie

Cohesity-Studie: Mensch bleibt größtes Sicherheitsrisiko in der IT

IT-Security-Fachkräfte: Schlüsselrolle für die digitale Sicherheit der Zukunft

WatchGuard Internet Security Report: Einzigartige Malware steigt um 171 Prozent – KI-Boom treibt Bedrohungen voran

Zwei Drittel der EU-Institutionen erfüllen grundlegende Cybersicherheitsstandards nicht
Whitepaper

ISACA veröffentlicht Leitfaden zu NIS2 und DORA: Orientierungshilfe für Europas Unternehmen

CISA und US-Partner warnen kritische Infrastrukturen vor möglichen Cyberangriffen aus dem Iran

Dating-Apps: Intime Einblicke mit Folgen

Europol-Bericht warnt vor KI-Vorurteilen in der Strafverfolgung – Leitfaden für verantwortungsvollen Technologieeinsatz veröffentlicht
