Patchday November 2019

13.
Nov
2019
CVE-2019-1367, CVE-2019-1429, CVE-2019-1457, Patch Tuesday, Servicing Stack Update

Patchday November 2019: Ein relativ ruhiger Patchday steht uns bevor. Aber nur noch 2 Monate bis zum EOL für Windows 7 und Server 2008. Haben Sie schon aktualisiert?

Kann ein Patchday eigentlich jemals als langweilig bezeichnet werden? Die Patchday-Liste vom November 2019 mit Hinweisen und Schwachstellen von Microsoft und Adobe ist knapp bemessen. Aber seien Sie nicht versucht, diese Sicherheitsupdates zu verzögern oder zu ignorieren.
In den Veröffentlichungen dieses Monats sind ein weiterer Internet Explorer Zero Day und eine öffentlich zugängliche Office for Mac-Schwachstelle enthalten.
Je früher Sie ein Patch installieren, desto früher sind Sie vor bekannten Sicherheitsrisiken geschützt. Egal wie langweilig, bleiben Sie Ihrer digitalen Sicherheit verpflichtet, um Ihre Software und Systeme auf dem neuesten Stand zu halten.

Der November 2019 Patchday stellt einige Sicherheitsupdates für folgende Microsoft-Produkte zur Verfügung:

  • Microsoft Windows
  • Internet Explorer
  • Microsoft Edge (EdgeHTML-based)
  • ChakraCore
  • Microsoft Office and Microsoft Office Services and Web Apps
  • Open Source Software
  • Microsoft Exchange Server
  • Visual Studio
  • Azure Stack

Microsoft

Microsoft hat Updates für Microsoft Windows, Internet Explorer und Edge-Browser, Microsoft Office und Office 365, Exchange Server, ChakraCore, Secure Boot, Visual Studio und Azure Stack veröffentlicht. Microsoft hat insgesamt 75 Schwachstellen behoben, darunter eine Zero Day IE-Schwachstelle (CVE-2019-1429) und eine Excel-Schwachstelle (CVE-2019-1457), die öffentlich bekannt gegeben wurde.

 

3rd-Party

Adobe hat Sicherheitsupdates für Animate CC, Illustrator CC, Media Encoder und Bridge CC veröffentlicht, die insgesamt 11 Schwachstellen beheben. Alle sind mit Priorität 3 eingestuft.

 

Browser

Es scheint in letzter Zeit eine Reihe von Browser-Exploits zu geben. Im September gab es einen IE Zero Day (CVE-2019-1367), gefolgt von einem Google Chrome Zero Day, der am 1. November und dann dem November Patch Tuesday IE Zero Day (CVE-2019-1429) veröffentlicht wurde.
Bringen Sie diese Browser auf den neuesten Stand!

Das Chrome-Update (78.0.3904.87) behebt zwei Schwachstellen. Eine hiervon ist der jüngste Google Chrome Zero Day (CVE-2019-13720), der eine der größten Aufregungen durch Nicht-Microsoft-Updates war. Bei der Schwachstelle handelt es sich um eine nachträgliche Ausnutzung der Speicherbeschädigung, die es einem Angreifer ermöglicht, bösartigen Code auszuführen.

 

End of Life

Es gibt einige Windows-End-of-Life-Daten die am 8. Januar aktiv werden. Dies betrifft den erweiterten Support für Windows 7 und Server 2008\2008 R2. Es wird nun langsam wirklich Zeit, diese Systeme auf Windows 10 bzw. Windows Server 2016 bzw. 2019 zu aktualisieren. Aber auch das Windows 10 Build 1803 hat mit diesem Patchday sein entgültiges Supportende für die Editionen Home, Pro Education und Pro for Workstations erreicht.

FAZIT: Erneut ein ruhiger Patchday. Trotzdem werden 75 CVEs geschlossen und 11 «kritische» Sicherheitsupdates veröffentlicht. Die Ruhe trügt also etwas, denn die vielen Servicing Stack Updates (SSU) deuten weiterhin auf umfangreiche Veränderungen in allen aktuellen Microsoft Betriebssystemen zum Jahreswechsel hin. Update-Dienste unter Windows werden irgendwann zur Voraussetzung für zukünftige Updates auf betroffenen Systemen. Microsoft veröffentlicht die SSU in der Regel mindestens ein paar Monate vorab, bevor die Änderungen vollständig in Kraft treten. Die kürzeste Zeit, die wir beobachtet haben, war zwei Monate, um eine SSU-Freigabe für zukünftige Updates zu erhalten. Patch-Management hilft Ihnen in jedem Fall dabei, alle Patches und Sicherheitsupdates zu testen und zeitnah produktiv zu installieren.

Technischer Support Manager und Redakteur

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 

Der ProBlog

ist ein Angebot der

ProSoft GmbH
Bürgermeister-Graf-Ring 10
82538 Geretsried

 

Kontakt und Support

Telefon +49 (0) 8171/405-0
Fax  + 49 (0) 8171/405-400
info@prosoft.de

Share This