Mit den Updates zum September-Patchday merzt
Microsoft zwei Sicherheitslücken aus, die bereits aktiv von Angreifern missbraucht werden. Das Leck
CVE-2022-37969 ist mit einem CVSS Score von 7.8 in die Risikostufe hoch eingeteilt, lässt sich allerdings nur lokal ausnutzen. Angreifer mit geringen Nutzerprivilegien können dank dem Leck Systemprivilegien erlangen. Die Schwachstelle befindet sich im Common Log File System (CLFS) von Windows 7 bis Windows 11 und in verschiedenen Windows-Server-Versionen.
Die zweite bereits öffentlich bekannte Lücke nennt sich CVE-2022-23960 und birgt mit einem CVSS Score von 5.6 nur ein mittleres Risiko. Für Microsoft ist die Schwachstelle nur bei Windows 11 on ARM relevant: Angreifer können eine Side-Channel-Attacke durchführen (Spectre-BHB) und so unbefugt zu Informationen gelangen.
Als kritisch gelten dagegen die Schwachstellen
CVE-2022-34718 (CVSS Score 9.8) und
CVE-2022-34722 (CVSS Score 9.8). Beide lassen sich übers Netzwerk ausnutzen und betreffen zahlreiche Windows-Versionen. Erstere steckt im Internet Key Exchange Protocol IKE v1, die zweite in der TCP/IP-Verarbeitung. Neben den hier genannten Lecks umfasst der Patchday wie üblich Fixes für eine ganze Reihe weiterer Sicherheitsprobleme. Eine komplette Aufzählung liefert Microsoft im
Security Update Guide.
(ubi)