Es ist Microsoft Patch Dienstag: Dezember 2013

Von Alan Shimel

Anmerkung des Herausgebers: Alan Shimel tritt diesen Monat für Tony Bradley ein.

Microsoft hat für den Dezember-Patch am Dienstag elf neue Sicherheitsbulletins veröffentlicht, die 2013 mit 106 Sicherheitsbulletins abgeschlossen werden. Während dies die Gesamtzahl von 83 im letzten Jahr übertrifft, entspricht es in etwa den Zahlen von 2010 (106) und 2011 (100).

Die elf Bulletins des Monats setzen die jüngste Politik von Microsoft fort, Patches kontinuierlich zu veröffentlichen, und nicht den Bust- oder Burst-Ansatz der Vorjahre, bei dem die Zahlen zwischen wenigen und zwei Dutzend oder mehr pro Monat liegen würden. Dies gibt IT-Administratoren eine etwas bessere Vorhersehbarkeit ihrer Patch-Aktivitäten.

Microsoft scheint im Durchschnitt nur neun pro Monat zu haben, daher ist dieser Monat mit fünf kritischen und sechs wichtigen Sicherheitsbulletins etwas schwer.

Alle fünf kritischen Bulletins befassen sich mit der Remotecodeausführung und sollten daher behandelt werden. Die höchste Priorität für IT-Administratoren sollte das erste Bulletin sein, das einen bekannten Zero-Day-Fehler schließt, der in KB2896666 dokumentiert ist. Es gibt einen weiteren bekannten Nulltag, KB2914486, der diesen Monat nicht behandelt wird. Da Zero-Day-Angriffe über Adobe Reader ausgeführt werden, wird dringend empfohlen, auf die neueste Version von Reader zu patchen.

Jede Sicherheitsanfälligkeit bezüglich Remotecodeausführung erregt meine Aufmerksamkeit, sodass ich nicht zu lange warten würde, um diese fünf Patches zu beheben. Während die anderen vier keine Null Tage um sich haben, sind sie wichtig genug, um sie jetzt anzusprechen. Während der Ferienzeit sind wir alle damit beschäftigt, die anderen sechs Patches zu adressieren, wenn sie für Sie zutreffen (achten Sie darauf, für welche Plattform sie vorgesehen sind), damit Sie die Ferien zumindest mit diesem von Ihrem Teller genießen können.

Schöne Ferien!


Dieser Blog-Beitrag ist auch im PDF-Format in einem TechRepublic-Download verfügbar.


Sicherheitspatches

In den elf Sicherheitsbulletins dieses Monats werden insgesamt 22 verschiedene Sicherheitslücken behoben, die Internet Explorer, Microsoft Office, Exchange, Surface 2 und mehr umfassen.

MS13-088 / KB2888505 - Kumulatives Sicherheitsupdate für Internet Explorer

Mehr als die Hälfte der Sicherheitslücken in diesem Monat werden mit diesem einen Update behoben. MS13-088 behebt zehn separate Sicherheitsanfälligkeiten, die alle Versionen von Internet Explorer von IE6 bis IE11 betreffen. Zwei der Fehler könnten die Offenlegung von Informationen ermöglichen, und die verbleibenden acht sind Speicherbeschädigungsprobleme, die ausgenutzt werden könnten, damit ein Angreifer bösartigen Code remote auf dem anfälligen System ausführen kann. Derzeit sind keine Exploits in freier Wildbahn für diese Sicherheitsanfälligkeiten bekannt. Ein Angreifer kann jedoch einen Exploit ausführen, indem er eine schädliche Webseite erstellt und Benutzer zum Besuch verleitet.

MS13-089 / KB2876331 - Sicherheitsanfälligkeit in der Windows-Grafikgeräteschnittstelle kann Remotecodeausführung ermöglichen

Dieses Sicherheitsbulletin wird von Microsoft als kritisch eingestuft, da ein Angreifer aufgrund des Fehlers möglicherweise bösartigen Code auf dem Zielsystem ausführen kann. Der Fehler betrifft alle unterstützten Windows-Versionen von Windows XP bis Windows 8.1. Der Schweregrad wird jedoch erheblich durch die Tatsache gemildert, dass ein Angreifer eine schädliche Datei erstellen und einen Benutzer irgendwie davon überzeugen müsste, sie mit WordPad zu öffnen - einer Anwendung, die nur sehr wenige Benutzer tatsächlich verwenden.

MS13-090 / KB2900986 - Kumulatives Sicherheitsupdate von ActiveX-Kill-Bits

MS13-090 ist aus zwei Gründen ein dringendes Update. Erstens ermöglicht ein erfolgreicher Exploit der Sicherheitsanfälligkeit dem Angreifer, schädlichen Code auf dem gefährdeten System auszuführen. Zweitens ist dies ein Zero-Day-Fehler, der bereits in freier Wildbahn aktiv ausgenutzt wird. Eine speziell gestaltete schädliche Webseite kann verwendet werden, um das fehlerhafte ActiveX-Steuerelement auszulösen und das System zu gefährden. Alle Desktop-Versionen von Windows sind betroffen, aber die potenzielle Bedrohung kann minimiert werden, indem sichergestellt wird, dass Benutzer nicht mit vollständigen Administratorrechten arbeiten.

MS13-091 / KB2885093 - Sicherheitsanfälligkeiten in Microsoft Office können die Remotecodeausführung ermöglichen

Dieses Sicherheitsbulletin befasst sich mit drei Sicherheitsanfälligkeiten in Microsoft Office, die sich auf Office 2003, 2007, 2010 und 2013 auswirken. Eine der drei Sicherheitsanfälligkeiten erstreckt sich über alle Versionen von Office und wird wahrscheinlich diejenige sein, auf die sich Angreifer konzentrieren werden. Das Security Bulletin wird von Microsoft nur als wichtig eingestuft. Da Microsoft Office jedoch so weit verbreitet ist und ein erfolgreicher Angriff zur Remotecodeausführung führen kann, sollte dieser Patch eine höhere Priorität haben.

MS13-092 / KB2893986 - Sicherheitsanfälligkeit in Hyper-V kann die Erhöhung von Berechtigungen ermöglichen

Die Bedrohung durch MS130-092 ist relativ begrenzt. Die Sicherheitsanfälligkeit ist spezifisch für Windows 8 und Windows Server 2012 - Windows 8.1 und Windows Server 2012 R2 sind nicht betroffen. Ein erfolgreicher Angriff könnte zu einer Erhöhung der Berechtigungen oder zu einem Denial-of-Service führen, indem der Hypervisor abstürzt. Der Angreifer benötigt jedoch zunächst Zugriff auf eine virtuelle Gastmaschine, die auf dem Hyper-V-Host ausgeführt wird, um einen speziell gestalteten Hypercall zum Auslösen zu übergeben der Exploit.

MS13-093 / KB2875783 - Sicherheitsanfälligkeit im Windows-Zusatzfunktionstreiber kann die Offenlegung von Informationen ermöglichen

Dieser Fehler birgt nur ein sehr geringes Risiko. Eine Sicherheitsanfälligkeit bezüglich der Speicheroffenlegung im Windows-Zusatzfunktionstreiber kann zu einer Erhöhung der Berechtigungen und einer möglichen Offenlegung von Informationen führen. Der Angreifer muss jedoch zuerst mit gültigen lokalen Anmeldeinformationen am anfälligen System angemeldet sein und dann eine speziell gestaltete Anwendung ausführen, um den Fehler auszulösen. Ein entfernter Angreifer müsste zuerst einen anderen Fehler erfolgreich ausnutzen, um die Kontrolle über das Zielsystem zu erlangen, bevor dieser Fehler eine Bedrohung darstellen könnte.

MS13-094 / KB2894514 - Sicherheitsanfälligkeit in Microsoft Outlook kann die Offenlegung von Informationen ermöglichen

Dies ist eine öffentlich bekannt gegebene Sicherheitsanfälligkeit, die sich auf Outlook 2007, 2010 und 2013 auswirkt. Wenn ein Angreifer einen Benutzer dazu verleitet, eine speziell gestaltete schädliche E-Mail-Nachricht mit einer betroffenen Version von Outlook zu öffnen, kann dies zur Offenlegung von Informationen führen. Der Angreifer kann möglicherweise Details wie IP-Adresse, offene TCP-Ports und andere vertrauliche Informationen extrahieren.

MS13-095 / KB2868626 - Sicherheitslücken in digitalen Signaturen können Denial-of-Service ermöglichen

MS13-095 birgt auch an und für sich praktisch kein wirkliches Risiko. Ein Fehler bei der Interpretation digitaler Signaturen durch Microsoft kann mit einem speziell gestalteten X.509-Zertifikat ausgenutzt werden, um das betroffene System zum Absturz zu bringen und einen Denial-of-Service-Zustand zu verursachen.

MS13-096 / KB2908005 - Sicherheitsanfälligkeit in der Microsoft Graphics-Komponente könnte Remotecodeausführung ermöglichen

Dieses Sicherheitsupdate behebt eine öffentlich bekannt gegebene Sicherheitsanfälligkeit in Microsoft Windows, Microsoft Office und Microsoft Lync. Die Sicherheitsanfälligkeit kann die Ausführung von Remotecode ermöglichen, wenn ein Benutzer Inhalte anzeigt, die speziell gestaltete TIFF-Dateien enthalten.

MS13-097 / KB2898785 - Kumulatives Sicherheitsupdate für Internet Explorer

Dieses Sicherheitsupdate behebt sieben privat gemeldete Sicherheitslücken in Internet Explorer. Die schwerwiegendsten Sicherheitsanfälligkeiten können die Ausführung von Remotecode ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite mit Internet Explorer anzeigt. Ein Angreifer, der die schwerwiegendste dieser Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann dieselben Benutzerrechte wie der aktuelle Benutzer erhalten. Benutzer, deren Konten so konfiguriert sind, dass sie weniger Benutzerrechte auf dem System haben, sind möglicherweise weniger betroffen als Benutzer, die mit Administratorrechten arbeiten.

MS13-098 / KB2893294 - Sicherheitsanfälligkeit in Windows kann Remotecodeausführung ermöglichen

Dieses Sicherheitsupdate behebt eine privat gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann die Ausführung von Remotecode ermöglichen, wenn ein Benutzer oder eine Anwendung eine speziell gestaltete, signierte PE-Datei (Portable Executable) auf einem betroffenen System ausführt oder installiert.

MS13-099 / KB2909158 - Sicherheitsanfälligkeit in der Microsoft Scripting Runtime-Objektbibliothek kann Remotecodeausführung ermöglichen

Dieses Sicherheitsupdate behebt eine privat gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann die Ausführung von Remotecode ermöglichen, wenn ein Angreifer einen Benutzer davon überzeugt, eine speziell gestaltete Website oder eine Website zu besuchen, auf der speziell gestaltete Inhalte gehostet werden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann dieselben Benutzerrechte wie der lokale Benutzer erhalten. Benutzer, deren Konten so konfiguriert sind, dass sie weniger Benutzerrechte auf dem System haben, sind möglicherweise weniger betroffen als Benutzer, die mit Administratorrechten arbeiten.

MS13-100 / KB2904244 - Sicherheitsanfälligkeiten in Microsoft SharePoint Server können die Remotecodeausführung ermöglichen

Dieses Sicherheitsupdate behebt mehrere privat gemeldete Sicherheitslücken in der Microsoft Office-Serversoftware. Diese Sicherheitsanfälligkeiten können die Ausführung von Remotecode ermöglichen, wenn ein authentifizierter Angreifer speziell gestalteten Seiteninhalt an einen SharePoint-Server sendet. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann beliebigen Code im Sicherheitskontext des W3WP-Dienstkontos auf der SharePoint-Zielwebsite ausführen.

MS13-101 / KB2880430 - Sicherheitsanfälligkeiten in Windows-Treibern im Kernelmodus können die Erhöhung von Berechtigungen ermöglichen

Dieses Sicherheitsupdate behebt fünf privat gemeldete Sicherheitslücken in Microsoft Windows. Die schwerwiegendere dieser Sicherheitsanfälligkeiten kann eine Erhöhung der Berechtigungen ermöglichen, wenn sich ein Angreifer bei einem System anmeldet und eine speziell gestaltete Anwendung ausführt. Ein Angreifer muss über gültige Anmeldeinformationen verfügen und sich lokal anmelden können, um diese Sicherheitsanfälligkeit auszunutzen.

MS13-102 / KB2898715 - Sicherheitsanfälligkeit im LRPC-Client kann die Erhöhung von Berechtigungen ermöglichen

Dieses Sicherheitsupdate behebt eine privat gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann die Erhöhung von Berechtigungen ermöglichen, wenn ein Angreifer einen LRPC-Server fälscht und eine speziell gestaltete LPC-Portnachricht an einen beliebigen LRPC-Client sendet. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann dann Programme installieren. Daten anzeigen, ändern oder löschen; oder erstellen Sie neue Konten mit vollständigen Administratorrechten. Ein Angreifer muss über gültige Anmeldeinformationen verfügen und sich lokal anmelden können, um diese Sicherheitsanfälligkeit auszunutzen.

MS13-103 / KB2905244 - Sicherheitsanfälligkeit in ASP.NET SignalR kann die Erhöhung von Berechtigungen ermöglichen

Dieses Sicherheitsupdate behebt eine privat gemeldete Sicherheitsanfälligkeit in ASP.NET SignalR. Die Sicherheitsanfälligkeit kann die Erhöhung von Berechtigungen ermöglichen, wenn ein Angreifer speziell gestaltetes JavaScript an den Browser eines Zielbenutzers zurückgibt.

MS13-104 / KB2909976 - Sicherheitsanfälligkeit in Microsoft Office kann die Offenlegung von Informationen ermöglichen

Dieses Sicherheitsupdate behebt eine privat gemeldete Sicherheitsanfälligkeit in Microsoft Office, die die Offenlegung von Informationen ermöglichen kann, wenn ein Benutzer versucht, eine auf einer schädlichen Website gehostete Office-Datei zu öffnen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Zugriffstoken ermitteln, mit denen der aktuelle Benutzer auf einer SharePoint-Zielwebsite oder einer anderen Microsoft Office-Serverwebsite authentifiziert wird.

MS13-105 / KB2915705 - Sicherheitsanfälligkeiten in Microsoft Exchange Server können die Remotecodeausführung ermöglichen

Dieses Sicherheitsupdate behebt drei öffentlich gemeldete Sicherheitsanfälligkeiten und eine privat gemeldete Sicherheitsanfälligkeit in Microsoft Exchange Server. Die schwerwiegendsten dieser Sicherheitsanfälligkeiten bestehen in den Funktionen WebReady Document Viewing und Data Loss Prevention von Microsoft Exchange Server. Diese Sicherheitsanfälligkeiten können die Ausführung von Remotecode im Sicherheitskontext des LocalService-Kontos ermöglichen, wenn ein Angreifer eine E-Mail-Nachricht mit einer speziell gestalteten Datei an einen Benutzer auf einem betroffenen Exchange-Server sendet. Das LocalService-Konto verfügt über Mindestberechtigungen für das lokale System und zeigt anonyme Anmeldeinformationen im Netzwerk an.

MS13-106 / KB2905238 - Die Sicherheitsanfälligkeit in einer gemeinsam genutzten Microsoft Office-Komponente kann die Umgehung von Sicherheitsfunktionen ermöglichen

Dieses Sicherheitsupdate behebt eine öffentlich bekannt gegebene Sicherheitsanfälligkeit in einer freigegebenen Microsoft Office-Komponente, die derzeit ausgenutzt wird. Die Sicherheitsanfälligkeit kann die Umgehung von Sicherheitsfunktionen ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite in einem Webbrowser anzeigt, der COM-Komponenten wie Internet Explorer instanziieren kann. In einem Angriffsszenario beim Surfen im Internet kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, die Sicherheitsfunktion "Address Space Layout Randomization" (ASLR) umgehen, mit der Benutzer vor einer breiten Klasse von Sicherheitsanfälligkeiten geschützt werden. Die Umgehung der Sicherheitsfunktion selbst ermöglicht keine Ausführung von beliebigem Code. Ein Angreifer kann diese ASLR-Bypass-Sicherheitsanfälligkeit jedoch in Verbindung mit einer anderen Sicherheitsanfälligkeit verwenden, z. B. einer Sicherheitsanfälligkeit bezüglich Remotecodeausführung, die die ASLR-Umgehung nutzen kann, um beliebigen Code auszuführen.


Als Mitbegründer und Managing Partner der CISO Group ist Alan Shimel dafür verantwortlich, die Vision und Mission des Unternehmens voranzutreiben. Die CISO Group bietet Sicherheitsberatung und PCI-Compliance-Management für die Zahlungskartenbranche. Vor der CISO-Gruppe war Alan Chief Strategy Officer bei StillSecure. Shimel war die öffentliche Person von StillSecure, als es von Anfang an zur Verteidigung einiger der größten und sensibelsten Netzwerke der Welt beitrug.

Shimel ist eine häufig zitierte Persönlichkeit in der Technologie-Community und ein gefragter Redner bei Konferenzen und Veranstaltungen von Industrie und Regierung. Seinem Kommentar zum Zustand von Sicherheit, Open Source und Leben folgen viele Branchenkenner in seinem Blog und Podcast "Ashimmy, After All These Years" (www.ashimmy.com).

Alan hat zum Aufbau mehrerer erfolgreicher Technologieunternehmen beigetragen, indem er einen starken geschäftlichen Hintergrund mit einem tiefen technologischen Wissen kombiniert hat. Sein juristischer Hintergrund, seine langjährige Erfahrung auf diesem Gebiet und seine New Yorker Street-Smarts bilden zusammen eine einzigartige Persönlichkeit.


© Copyright 2020 | mobilegn.com