Microsoft behebt zum Patch Tuesday im Februar 99 CVEs. Die gute Nachricht: Der Großteil wird mit wenigen Microsoft-Updates behoben, die mit der Aktualisierung des Betriebssystems ausgeliefert werden. Neben Microsoft gibt es zum Patch Tuesday auch Updates von Adobe und Mozilla.

Im Schnitt beheben die Windows Betriebssystem-Updates zum Patch Tuesday bereits die Hälfte der 99 bekannten Sicherheitslücken. Bei Windows 10 sind es in Verbindung mit IE und Edge sogar 88 CVEs. Sie sollten den Patch Tuesday daher vor allem nutzen zu prüfen welche der CVEs Sie mit besonderer Dringlichkeit behandeln müssen.

Der Patch Tuesday wartet mit einer Zero-Day Schwachstelle auf (CVE-2020-0674), die erstmals im letzten Monat mit einem Sicherheitshinweis (ADV200001) versehen wurde. Fünf der CVEs (einschließlich des Zero-Day) wurden öffentlich bekannt gegeben. Angreifern stehen somit genügend Informationen zur Verfügung herauszufinden, wie sie ausgenutzt werden können. Durch die Aktualisierung des Betriebssystems oder der Browser mit ein paar Patches pro System können Sie den Großteil des Risikos an diesem Patch Tuesday ausräumen.

Die gute Nachricht zum Patch Tuesday – wenig Arbeit für die IT!

Die wirklich gute Nachricht bei all dem ist, dass die 99 CVEs an diesem Patch Tuesday nicht viel zusätzliche Arbeit für die Administratoren bedeuten. Die regulären Updates gelten weiterhin. Betriebssystem, Browser und Office werden die meisten Ihrer Schwachstellen von der Microsoft-Seite aus beheben. Lediglich Administratoren, die sich um SQL und Exchange kümmern, erhalten diesen Monat ein wenig zusätzliche Arbeit, da beide Produkte in den veröffentlichten Updates enthalten sind.

Zwei Versionen von Microsoft Edge

Im Februar 2020 gibt es die ersten Sicherheitsupdates für die neue Edge-Chromium-Browser-Edition! Es existieren nun zwei Editionen von Edge - die in Windows 10 integrierte HTML-Version und die neue Chromium-Edition, die Sie auf Wunsch installieren können.

Microsoft kündigt am Patch Tuesday erweiterten Support an

Eine weitere bemerkenswerte Nachricht an diesem Patch Tuesday – nennen wir es Diskrepanz – ist die Ankündigung erweiterten Supportes. Windows 7, Server 2008 und 2008 R2 ESU-Updates werden noch öffentlich dokumentiert und sind im Standard-WSUS-Katalog aufgeführt. Dies bedeutet allerdings nicht, dass jeder Zugang hat. Sie benötigen nach wie vor eine ESU bei Microsoft, um die spezifischen Kriterien für die kostenlosen Optionen zu erfüllen, die Microsoft in den Windows 7 ESU-FAQ dargelegt hat. Außerdem gibt es einen ESU-Lizenzvorbereitungs-Patch, der Folgendes besagt:

"Dieses Update bietet den vollständigen Satz an Lizenzierungsänderungen, um die Installation des ESU MAK-Zusatzschlüssels zu ermöglichen, der einer der Schritte zur Vorbereitung der Installation von erweiterten Sicherheitsupdates ist. (Für die zu befolgenden Schritte siehe KB4522133). Nach der Installation dieses Updates ist ein Neustart erforderlich."

Dieser zusätzliche Patch zur Lizenzvorbereitung bedeutet, dass Sie zum Patch Tuesday vier Dinge bezüglich Ihrer ESU-Ziele überprüfen müssen, um sicherzustellen, dass Sie in der Lage sind, ohne Probleme zu patchen. Sie müssen sicherstellen, dass die SHA-2-Support-Updates angewendet werden, dass Sie die Voraussetzungen für das Service Stack-Update erfüllen, dass Sie diesen neuen Patch zur Lizenzvorbereitung auf die Systeme übertragen haben und dass Sie Ihren ESU-Lizenzschlüssel installiert haben.

Patch Tuesday News von Adobe und Mozilla

Adobe hat an diesem Patch Tuesday 17 CVEs für Adobe Reader und Acrobat (APSB20-05) und einen CVE für Flash Player (APSB20-06) behoben. Damit bringt der Patch Tuesday im Februar das erste Sicherheitsupdate für Flash Player im Jahr 2020 und auch das erste seit September 2019. Das Patch Tuesday Update für Adobe Acrobat Reader umfasst 12 kritische CVEs, und auch die CVE für Flash Player gilt als kritisch. Wir empfehlen, diesen beiden Updates an diesem Patch Tuesday Vorrang einzuräumen. Microsofts Veröffentlichung von Flash Player deckt die neuesten Ausgaben von Windows ab. Das Flash Player-Update wird nur unter Windows 8.1 und Server 2012 und höher unterstützt.

Mozilla hat Updates für Firefox, Firefox ESR und Thunderbird veröffentlicht und löst 6, 5 bzw. 7 CVEs auf. Die beiden Firefox-Aktualisierungen werden von Mozilla mit einem hohen Schweregrad und die Thunderbird-Updates mit einem moderaten Schweregrad bewertet. Diese Updates sind zwar nicht dringend, aber Sie sollten sie im Rahmen Ihrer normalen monatlichen Wartungsarbeiten durchführen lassen.