Quelle: Pixabay/geralt
Microsoft-Patchday behebt Zero-Day-Lecks
Zwei Zero-Day- und zwei kritische Schwachstellen gehören mit dem September-Patchday von Microsoft der Vergangenheit an.
14. September 2022
Mit den Updates zum September-Patchday merzt Microsoft zwei Sicherheitslücken aus, die bereits aktiv von Angreifern missbraucht werden. Das Leck CVE-2022-37969 ist mit einem CVSS Score von 7.8 in die Risikostufe hoch eingeteilt, lässt sich allerdings nur lokal ausnutzen. Angreifer mit geringen Nutzerprivilegien können dank dem Leck Systemprivilegien erlangen. Die Schwachstelle befindet sich im Common Log File System (CLFS) von Windows 7 bis Windows 11 und in verschiedenen Windows-Server-Versionen.
Die zweite bereits öffentlich bekannte Lücke nennt sich CVE-2022-23960 und birgt mit einem CVSS Score von 5.6 nur ein mittleres Risiko. Für Microsoft ist die Schwachstelle nur bei Windows 11 on ARM relevant: Angreifer können eine Side-Channel-Attacke durchführen (Spectre-BHB) und so unbefugt zu Informationen gelangen.
Als kritisch gelten dagegen die Schwachstellen CVE-2022-34718 (CVSS Score 9.8) und CVE-2022-34722 (CVSS Score 9.8). Beide lassen sich übers Netzwerk ausnutzen und betreffen zahlreiche Windows-Versionen. Erstere steckt im Internet Key Exchange Protocol IKE v1, die zweite in der TCP/IP-Verarbeitung. Neben den hier genannten Lecks umfasst der Patchday wie üblich Fixes für eine ganze Reihe weiterer Sicherheitsprobleme. Eine komplette Aufzählung liefert Microsoft im Security Update Guide. (ubi)
Die zweite bereits öffentlich bekannte Lücke nennt sich CVE-2022-23960 und birgt mit einem CVSS Score von 5.6 nur ein mittleres Risiko. Für Microsoft ist die Schwachstelle nur bei Windows 11 on ARM relevant: Angreifer können eine Side-Channel-Attacke durchführen (Spectre-BHB) und so unbefugt zu Informationen gelangen.
Als kritisch gelten dagegen die Schwachstellen CVE-2022-34718 (CVSS Score 9.8) und CVE-2022-34722 (CVSS Score 9.8). Beide lassen sich übers Netzwerk ausnutzen und betreffen zahlreiche Windows-Versionen. Erstere steckt im Internet Key Exchange Protocol IKE v1, die zweite in der TCP/IP-Verarbeitung. Neben den hier genannten Lecks umfasst der Patchday wie üblich Fixes für eine ganze Reihe weiterer Sicherheitsprobleme. Eine komplette Aufzählung liefert Microsoft im Security Update Guide. (ubi)
Weitere Artikel zum Thema
Microsoft fixt Anmeldefehler in Windows 11
9. September 2022 - Nach dem Einspielen eines Updates konnte man sich unter Windows 11 21H2 mit neu erstellten Microsoft-Konto nicht mehr anmelden. Jetzt hat Microsoft das Problem bestätigt und auch gleich korrigiert.Microsoft findet Leck in Tiktok-App
2. September 2022 - Das Microsoft 365 Defender Research Team hat in der Tiktok-App für Android eine gefährliche Schwachstelle gefunden. Mittlerweile wurde das Leck behoben.Microsoft-Patchday fixt 121 Schwachstellen
10. August 2022 - Im August 2022 behebt Microsoft insgesamt 121 Schwachstellen in einer Vielzahl von Produkten, davon 17 kritische Lecks und eine Zero-Day-Lücke.Artikel kommentieren
