Patchday Dezember: Ruhiger Jahresausklang

Gill Langston, Director Product Management, Patch at Qualys

Dieser Dezember-Patchday kommt deutlich weniger gewichtig daher als die Patch-Releases der letzten Monate. Und nur drei der Updates betreffen das Betriebssystem Windows, während sich die Mehrzahl der beachtenswerten Sicherheitslecks in den Browsern bzw. im Skriptmodul befinden.

Insgesamt werden 32 einzelne CVEs adressiert. Davon sind 19 als kritisch eingestuft, und 24 beheben Anfälligkeiten, die eine Remotecodeausführung mit unterschiedlichen Schweregraden ermöglichen. Auch diesen Monat führt Microsoft wieder keine aktiven Exploits auf.

Was die Prioritäten angeht, so richten wir das Hauptaugenmerk erneut auf die Browser sowie die Schwachstellen mit Speicherfehler im Skriptmodul. Wir empfehlen, sich als Erstes den benutzerseitigen Workstations zuzuwenden, um die 19 heute veröffentlichten kritischen Updates für Internet Explorer und Edge aufzuspielen, weil Microsoft hier angibt, dass eine „Ausnutzung wahrscheinlich“ ist. Zwar sind bis jetzt keine Exploits bekannt, doch sind Sie dann im Hinblick auf mögliche künftige Exploits auf der sicheren Seite.

Es gibt eine Anfälligkeit im Betriebssystem Windows, die Beachtung verdient: CVE-2017-1885, eine RPC-Schwachstelle mit Remotecodeausführung in Systemen, auf denen RRAS aktiviert ist. Aktualisieren Sie die Systeme, die RRAS verwenden, und deaktivieren Sie den Dienst auf Systemen, die ihn nicht benötigen, da diese dann gegen die Schwachstelle geschützt sind. Microsoft geht deshalb davon aus, dass hier eine „Ausnutzung weniger wahrscheinlich“ ist, aber trotzdem sollten Sie sich mit dieser Sicherheitslücke beschäftigen, nachdem sie die Browser gepatcht haben. 

Zudem empfehlen wir Ihnen, sich etwas Zeit zu nehmen, um sich ADV170021 anzusehen. Dieses Defense-in-Depth-Update bietet Konfigurationsoptionen, die es Ihnen –  vor dem Hintergrund der jüngst veröffentlichten DDE-Exploits – ermöglichen, DDE-Verhaltensweisen besser zu kontrollieren. Beachten Sie bitte, dass die Konfigurationsänderung vorgenommen wird, nachdem Sie das Update installiert haben, das das Advisory beschreibt.

Außerdem ist darauf hinzuweisen, dass Microsoft am 7. Dezember einen außerplanmäßigen Notfall-Patch für CVE-2017-11937 und CVE-2017-11940 veröffentlicht hat – Anfälligkeiten in der Microsoft Malware Protection Engine, die es einem Angreifer ermöglichen können, eine speziell präparierte Datei zu erstellen, die von der Malware Protection Engine gescannt wird, was dann die Ausführung von Code auf dem Endgerät ermöglicht. Der Patch wurde in die betroffenen Engines automatisch via Definitions-Updates eingespielt, sodass keine Eingriffe erforderlich sein sollten. Wenn Sie die Microsoft Malware Protection Engine in Defender, Security Essentials, Forefront Endpoint Protection oder die Engines in Exchange 2013 oder 2016 verwenden, sollten Sie sich vorsichtshalber jedoch vergewissern, dass Ihre Updates automatisch angewandt werden und dass Sie mindestens Version 1.1.14405.2 der Malware Protection Engine nutzen.

An der Adobe-Front ist nur ein Flash-Update zu verzeichnen: APSB17-42, klassifiziert als „Business-Logik-Fehler“.

Alles in allem also ein recht ruhiger Abschluss eines Jahres mit vielen Schwachstellen. Frohe Weihnachten und bis zum nächsten Jahr. Bis dahin, bleiben Sie sicher!

Gepostet von Gill Langston in The Laws of Vulnerabilities, 12. Dezember 2017

Autor: Gill Langston

Diesen Artikel empfehlen