Patchday Juli 2019

10.
Jul
2019
CVE-2019-0880, CVE-2019.1132, Firefox 68, Zero-Day Sicherheitslücke

Patchday Juli 2019: Microsoft patcht sich selbst! 17 Bulletins, 12 davon kritisch gegen 77 CVEs, darunter zwei Zero-Day Sicherheitslücken. Packen Sie’s an!

Der Juli Patchday wirkt unspektakulär und hat es doch in sich. (Sicherheits-) Updates für viele Windows Versionen, Office, .Net, SQL, VSTS sowie ein Advisory für Microsoft Exchange Server. Patches auch bei Mozilla und Oracle

Nicht jeder Patchday ist so spannend wir der Patchday Juni 2019. Trotzdem schließt Microsoft auch in diesem Monat wieder 77 eindeutige Sicherheitslücken. Darunter befinden sich auch zwei Zero-Day Schwachstellen. Von einer Zero-Day Sicherheitsanfälligkeit spricht man, wenn ein Exploit (Software die Sicherheitslücken gezielt ausnutzt) bereits verfügbar ist, bevor der Hersteller der anfälligen Software einen Patch als Gegenmaßnahme freigegeben hat.

CVE-2019-0880 tritt bei den Betriebssystemen Windows 8.1, Server 2012 aber auch bei allen neueren Betriebssystemen auf und erlaubt einen Angreifer seine Berechtigung von einer niederen Stufe auf eine mittlere Integritätsebene anzuheben. In der Folge kann mit Hilfe einer weiteren Sicherheitsanfälligkeit dann die Berechtigung des Angreifers erneut erhöht und/oder ein Code ausgeführt werden. Die zweite Zero-Day Sicherheitsanfälligkeit (CVE-2019-1132) betrifft Win32k in Windows 7, Server 2008 und Server 2008 R2. Auch hierbei handelt es sich um eine Erhöhung der Berechtigungen die es einem Angreifer erlaubt, beliebigen Code im Kernelmodus auszuführen. Damit können Programme installiert, Daten bearbeitet oder gelöscht und neue Benutzerkonten mit uneingeschränkten Rechten erstellt werden.

Es werden auch Updates für Entwickler Binärdateien Azure IoT, Azure Kubernetes-Dienst, Azure DevOps-Server, ASP .Net Core, .Net Core und Chakra Core freigegeben. Sollten Sie von diesen Tools noch nichts gehört haben dann, weil Sie Anwender und kein Entwickler sind.

Und jenseits von Microsoft?

Mozilla verbessert die Sicherheit von Firefox und Firefox ESR. Bei Firefox 68 konnten 21 Sicherheitsanfälligkeiten geschlossen werden und bei Firefox ESR insgesamt 10. Mozilla stuft die Sicherheitslücken selbst als «kritisch» ein. Durch diese Lücken können Angreifer Informationen offenlegen sowie Sandbox-Escape-Vorgänge und Remote- Codeausführung starten.

Oracle veröffentlicht am 16. Juli 2019 sein Critical Patch Update (Oracle CPU) mit Updates u.a. für Java.

 

FAZIT: Priorisieren Sie diesmal die Sicherheitsupdates für die beiden Zero-Day Anfälligkeiten bei Microsoft und die Updates bei Firefox, wenn Sie diesen Browser verwenden. Wenn Sie mit der Verteilung der monatlichen (Sicherheits-) Updates nicht am Ball bleiben können, dann raten wir Ihnen sich doch einmal über Patch-Management zu informieren. Mit Patch-Management erhöhen Sie mit wenig Aufwand die Sicherheit Ihrer IT durch das zeitnahe Einspielen aller erforderlichen Updates. Sie erhalten nur vorab getestete Patches und Sicherheitsupdates. Das Patch-Management sorgt dann für die bedarfsgerechte Verteilung aller Patches im Netzwerk und überwacht die komplette Installation. Das integrierte Reporting dokumentiert den Patch-Status Ihrer IT zu jeder Zeit.  

Technischer Support Manager und Redakteur

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 

Der ProBlog

ist ein Angebot der

ProSoft GmbH
Bürgermeister-Graf-Ring 10
82538 Geretsried

 

Kontakt und Support

Telefon +49 (0) 8171/405-0
Fax  + 49 (0) 8171/405-400
info@prosoft.de

Share This