August-Patchday: Microsoft schließt 74 Sicherheitslücken

Sechs Anfälligkeit erhalten die Bewertung kritisch. Angreifer können auch ohne Authentifizierung eine Remotecodeausführung erreichen.

Microsoft hat die Updates des August-Patchdays zum Download freigegeben. Nutzer erhalten Fixes für bis zu 74 Anfälligkeiten. Sechs Schwachstellen werden von den Entwicklern als kritisch eingestuft. Angreifern können unter Umständen Schadcode aus der Ferne einschleusen und ausführen.

Die höchste Gefahrenstufe vergibt Microsoft unter anderem für drei Lücken in Microsoft Message Queuing, die eine Remotecodeausführung erlauben. Alle drei sind auch mit einem CVSS-Score von 9,8 versehen. Zudem nennt Microsoft laut Zero Day Initiative (ZDI) einen Workaround, falls eine Installation der Updates zeitnah nicht erfolgen kann. Stattdessen sollte der TCP-Port 1801 blockiert werden.

Spooging über Exchange Server

Kritisch ist auch eine Spoofing-Lücke in Exchange Server, zumal das jetzt verfügbare Update einen Bypass eines früheren Patches verhindern soll. ZDI weist darauf hin, dass es sich bereits um den vierten Patch für dieselbe Lücke handelt – alles bisherigen Updateversuche hatten offenbar nicht den gewünschten Erfolg.

Eine weitere Remotecodeausführung betrifft Microsoft Teams. Ein Angreifer muss ein Opfer lediglich davon überzeugen, einem speziell gestalteten Team-Meeting beizutreten. Anschließend soll er in der Lage sein, auf Informationen des Opfers zuzugreifen und sogar dessen Daten zu verändern.

Weitere Exchange-Lücken mit kritischen Folgen

Darüber hinaus empfiehlt ZDI, dem Update für die Lücke CVE-2023-21709 in Exchange Server besondere Aufmerksamkeit zu schenken. Diese Lücke sei zwar nur als mittelschwer eingestuft, in Kombination mit anderen Schwachstellen erlaube sie jedoch eine Remotecodeausführung ohne Authentifizierung, was eigentlich eine kritische Anfälligkeit beschreibe.

Weitere Patches betreffen den Windows Kernel, Office-Anwendungen wie Excel, Outlook und Visio, den Fax- und Scan-Dienst von Windows, den Bluetooth-Treiber, .NET Core, Visual Studio, .NET Framework, Sharepoint und Hyper-V. Darüber hinaus sind unter anderem die Kryptographiedienste von Windows, das Windows User Interface, Edge, SQL-Server, Defender und die Windows-Codec-Bibliothek angreifbar.

Für Windows 10 und Windows 11 verteilt Microsoft wie immer kumulative Updates. Sie beinhalten auch nicht sicherheitsrelevante Korrekturen, die seit Ende Juli als optionales Update verfügbar sind. Auch wenn im August keine Zero-Day-Löcher gestopft werden, ist eine zeitnahe Installation der Updates wie immer ratsam.

Themenseiten: Microsoft, Office, Patchday, Schwachstellen, Sicherheit, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu August-Patchday: Microsoft schließt 74 Sicherheitslücken

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *