Der September Patch Tuesday bringt keine ausgenutzten oder öffentlich bekannten Schwachstellen. Dennoch sollte das kein Grund sein, sich in Sicherheit zu wiegen: Microsoft hat insgesamt 129 kritische CVEs zum Patch Tuesday geschlossen.

In diesem Monat haben sich Cyberkriminelle ungewohnt ruhig verhalten – der perfekte Anlass, sich zum Patch Tuesday den Aufräumarbeiten zu widmen. So hat Microsoft im Rahmen des Patch Tuesday-Updates in diesem Monat 129 Common Vulnerabilities and Exposures (CVEs) behoben, 23 davon kritische CVEs. Die meisten von ihnen wirken sich auf das Windows-Betriebssystem und die Browser aus. Hinzu kommen sieben kritische CVEs auf SharePoint.

Patch Tuesday mit Zeit zum Aufräumen

Auch wenn es zu diesem Patch Tuesday keine öffentlichen Bekanntmachungen oder ausgenutzten CVEs gibt, sollten Sie in einigen Bereichen aufmerksam hinsehen. Microsoft SharePoint weist diesen Monat eine Reihe kritischer Sicherheitslücken auf, darunter CVE-2020-1210 mit einem CVSS-Wert von 9,9. Bei Microsoft Exchange tritt eine CVE mit einem CVSS-Wert von 9,1 (CVE-2020-16875) auf, die eine Remote-Code-Ausführung ermöglicht, wenn ein Angreifer eine speziell gestaltete E-Mail an den betroffenen Exchange Server sendet. CVE-2020-0761 ist eine weitere Sicherheitslücke für eine Remote-Code-Ausführung. Sie wirkt sich auf das Active Directory aus, wenn es in DNS (ADIDNS) integriert ist. Diese Sicherheitslücke hat einen CVSS-Wert von 8,8.

Patch Tuesday Sicherheitsupdate für Google Chrome

Zum September Patch Tuesday hat Google für seinen Browser Chrome ein Sicherheits-Update veröffentlicht, das fünf Lücken schließt. Der Schweregrad gilt bei allen fünf als „high“. Dies ist die zweithöchste Bewertung für Google-Schwachstellen.

Ende von Adobe Flash wirft seine Schatten voraus

Für Adobe Flash gibt es zwar ein Update, das aber nicht sicherheitsrelevant ist. Allerdings naht das Ende der Unterstützung für Adobe Flash Player. Daher ist der Patch Tuesday der geeignete Anlass zu überlegen, wie Sie Adobe Flash aus Ihrer Umgebung entfernen können: Microsoft hat im vergangenen September eine EoS-Erklärung veröffentlicht, wonach Microsoft Edge Chromium Flash standardmäßig deaktivieren wird. Für Edge und Internet Explorer wird Flash, bevor es im Dezember 2020 ausläuft, nicht standardmäßig deaktiviert. Bis zum 31. Dezember 2020 entfernt Microsoft den Flash Player über ein Windows Update vollständig aus allen Microsoft-Browsern. Gehen Sie davon aus, dass in den nächsten Monaten ein Bereinigungstool verfügbar sein wird und wahrscheinlich eine Version der Microsoft-Browsern, die Flash entfernen.

Update-Prioritäten zum Patch Tuesday

  • Windows Betriebssysteme und Browser (Microsoft und Google)
  • Exchange Server
  • SharePoint Server