För Septembers Patch Tuesday tillhandahöll Microsoft flera uppdateringar för att fixa 59 sårbarheter. Microsoft klassificerar fem sårbarheter som kritiska och resten, med undantag av en, som högrisk. De kritiska sårbarheterna påverkar Windows, Visual Studio och Azure. En sårbarhet i Word utnyttjas redan. Microsoft erbjuder sparsamt med information om sårbarheterna för självsökning i säkerhetsuppdateringsguiden.
Dustin Childs presenterar ämnet Patch Tuesday på ett mycket tydligare sätt i Trend Micro ZDI-bloggen — alltid med tanke på administratörer som tar hand om företagsnätverk.
De viktigaste säkerhetsbristerna på Patch Day i september
Webbläsaruppdateringar
Den senaste säkerhetsuppdateringen för Edge är version 116.0.1938.76 från 7 september. Den är baserad på Chromium 116.0.5845.180 och fixar flera hål i Chromium-basen. Google har dock redan släppt två nya Chrome-uppdateringar denna vecka som fixar fler sårbarheter, inklusive en 0-dagars exploatering. Sedan bytet till Chromium 110 i februari körs Edge inte längre på system med Windows 7 eller 8.x – som alla Chromium-baserade webbläsare.
Office sårbarheter
Microsoft har dokumenterat åtta säkerhetsbrister för sina Office-produkter. Bland dem finns en sårbarhet för fjärrkörning av kod (RCE) i Word (CVE-2023-36762). Word-sårbarheten CVE-2023-36761, å andra sidan, rapporteras av Microsoft som en dataläcka. Den utnyttjas redan för attacker. En angripare kan avslöja NTLM-hashar som han kan använda för NTLM-reläattacker. Dustin Childs från Trend Micros ZDI-blogg anser därför att en klassificering som en spoofing-sårbarhet är mer lämplig. En exploatering av denna Word-sårbarhet kan också utföras via Outlook-förhandsgranskningen, om en lämpligt förberedd Word-fil skickas som en e-postbilaga.
Sårbarheter i Windows
Några av sårbarheterna, denna gång 21, är fördelade över de olika Windows 10- och 11-versionerna. Windows 7 och 8.1 nämns inte längre i säkerhetsrapporterna, men kan vara sårbara. Så långt systemkraven tillåter bör du byta till Windows 10 (22H2) eller Windows 11 för att fortsätta få säkerhetsuppdateringar. Windows 10 21H2 fick senast uppdateringar i juni.
Den enda Windows-sårbarheten som har utsetts som kritisk av Microsoft gäller Internet Connection Sharing (ICS). Om en angripare är på samma nätverkssegment som måldatorn när ICS är aktiverat, kan de injicera och exekvera kod med ett skapat nätverkspaket. ICS är inte aktiverat som standard.
Microsoft har stängt RCE-sårbarheter som klassats som högrisk i EdgeHTML-skriptmotorn, Miracast och Windows-teman. Den senare sårbarheten (CVE-2023-38146) gör att en angripare kan injicera och köra kod med hjälp av en skapad temafil. Detta påminner om liknande attacker med skärmsläckare som fanns för 20 år sedan. Microsoft har åtgärdat sju sårbarheter i 3D Builder-appen, varav sex är RCE-sårbarheter. Uppdateringar för den här appen finns tillgängliga i Microsoft Store.
Kritiska buggar i Visual Studio
Microsoft klassificerar tre av de fem RCE-sårbarheterna i Visual Studio som kritiska. Varför de andra två ska vara mindre problematiska framgår inte av Microsofts uppgifter.
Ytterligare uppdateringar för Exchange Server
Efter att Microsoft redan åtgärdat vissa Exchange-sårbarheter på Patch Day i augusti, läggs ytterligare fem till denna månad. Tre av sårbarheterna är RCE-exploateringar. Dessutom finns det en dataläcka och en spoofing-sårbarhet (CVE-2023-36757). Den senare kan användas för NTLM reläattacker. Septemberuppdateringarna kräver att August-patcharna redan har installerats.
Extended Security Updates (ESU)
Företag och organisationer som deltar i Microsofts betalda ESU-program för att säkra system med Server 2008/R2 kommer att få uppdateringar denna månad som eliminerar 11 sårbarheter. RCE-sårbarheter är inte bland dem denna gång.
Skaffa windows 11 pro billigt i pcworlds mjukvarubutik
Windows 11 Pro
Pris vid recension: 199,99 Bästa priser idag: 79,99 USD i PCWorld Software Store
Den här artikeln översattes från tyska till engelska och publicerades ursprungligen på pcwelt.de.
