Zum letzten Mal in diesem Jahr liefert
Microsoft am monatlichen Patchday Sicherheits-Updates für seine Software aus. Insgesamt wurden diesmal 67 Lecks gestopft, davon sieben als kritisch eingestuft (CVSS-Score 9 und mehr). Drei kritische Schwachstellen betreffen Office (CVE-2021-43905), Defender (CVE-2021-42310) und iSNS Server (CVE-2021-43215), wie dem
Security Update Guide zu entnehmen ist. Über diese Lecks können Angreifer per Remote-Zugriff ohne Anmeldung schädlichen Code in die Zielsytseme einschleusen. Weitere kritische Sicherheits-Updates gibt es für den Wireless Dislay Adapter und die WSL-Extension zu Visual Studio Code.
Die meisten anderen nun behobenen Sicherheitsprobleme sind mit einem geringeren CCSS-Score und dem Schweregrad hoch bewertet. Dazu gehört auch die Spoofing-Schwachstelle
CVE-2021-43890 im AppX Installer von Windows, die laut Microsoft für Angriffe mit den Trojanern Emotet/Trickbot/Bazaloader aktiv ausgenutzt wird – aktuell scheint ja wieder eine Emotet-Kampagne am Laufen zu sein. Die Attacke erfolgt dabei über den Download eines manipulierten E-Mail-Attachments.
(ubi)
