Trotz Ferienzeit bleibt IT-Sicherheitsspezialisten in diesem Jahr wenig Zeit für eine Erdbeer-Margarita am Pool. Die Bedrohungslage, das zeigt zumindest der Patch Tuesday im August, bleibt angespannt: Microsoft hat gerade 17 Updates veröffentlicht, die 60 verschiedene Schwachstellen beheben. Wie üblich ist auch Adobe mit Sicherheitsupdates für mehrere seiner Produkte dabei. Nachdem in den letzten zwei Monaten keine Zero-Day-Schwachstellen gemeldet wurden, sind es im August gleich zwei. Und wie gehabt, sind Spectre und Meltdown auch weiterhin zentrale Themen des Patch Tuesday.

Bei den beiden Zero-Day-Schwachstellen handelt es sich um CVE-2018-8373 und CVE-2018-8414. Beide wurden öffentlich bekannt gegeben. Eine solche Bekanntmachung wird immer dann nötig, wenn klar ist, dass einem Angreifer ausreichend viele Informationen über eine Schwachstelle zur Verfügung stehen.

Patch Tuesday: Behandeln Sie die beiden Schwachstellen mit höchster Priorität

CVE-2018-8373 ist ein Schwachpunkt, der sich aus dem Umgang der Scripting-Engine des Internet Explorers mit Objekten im Speicher ergibt. Angreifer könnten sie zur Ausführung von Remotecode nutzen. In diesem Fall hätten sie die gleichen Rechte wie ein angemeldeter Benutzer, einschließlich aller Administratorrechte. Da diese Anfälligkeit im IE 9, 10 und 11 existiert, betrifft sie alle Windows-Betriebssysteme, angefangen vom Server 2008 bis hin zu Windows 10.

Der zweite Zero-Day-Exploit, CVE-2018-8414, ist eine Schwachstelle in der Ausführung von Code, sofern die Windows-Shell Dateipfade nicht ordnungsgemäß validiert. Auch hier kann ein Angreifer Code remote starten und damit Benutzerrechte erlangen. Es hat sich gezeigt, dass diese Schwachstelle nicht sehr weit verbreitet ist, da sie nur unter Windows 10 1703 und neuer sowie Server 1709 und Server 1803 offen ist.

Und täglich grüßt das Murmeltier: Meltdown & Spectre

Auch im August waren die Themen Meltdown und Spectre wieder zentrale Elemente des Patch Tuesday. Zum Schutz vor neuen Varianten der beiden Sicherheitslücken hat Microsoft das Advisory 180018 veröffentlicht. Dieser Ratgeber („Microsoft Guidance to migate L1TF variant“) behebt drei Schwachstellen: CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646. In seinem Advisory zum Patch Tuesday schreibt Microsoft: „Spekulative ausführungsseitige Channel-Schwachstellen – wie beispielsweise L1 Terminal Fault (L1TF) – lassen sich einsetzen, um den Inhalt des Speichers über eine vertrauenswürdige Grenze hinweg zu lesen. In diesem Fall könnten Informationen offengelegt werden.“

Lesen Sie die Hinweise von Microsoft sorgfältig, bevor Sie Maßnahmen ergreifen!

Die Behebung dieser Schwachstellen erfordert sowohl ein Software- als auch Firmware-Update (Mikrocode). Als vorübergehende Abhilfe empfiehlt Microsoft die Deaktivierung von Hyper-Threading, was erhebliche Auswirkungen auf die Performance haben kann. Ähnlich der vorherigen Anleitung zu diesen Schwachstellen wird auch im Advisory 180018 zum Patch Tuesday deutlich, dass ihr Management und ihre Behebung zeitaufwändig und mühsam ist. Die aktuelle Variante ist übrigens auch unter dem Codenamen Foreshadow bekannt. Eine ausführliche Erklärung und weitere Informationen finden Sie auf dieser Website von Usenix.

Testen Sie Ihre nicht produktiven Systeme, bevor Sie auf breiter Basis fortfahren.

Zum Patch Tuesday im August hat Microsoft Updates für viele seiner Produkte veröffentlicht. Besonders hervorzuheben sind neue Updates für .NET, die interessanterweise nur eine Schwachstelle beheben. Die Veröffentlichung des vorangegangenen Updates verursachte im Juli eine Reihe von Stabilitätsproblemen.

Es kann davon ausgegangen werden, dass nun neben der zentralen Sicherheitslücke auch eine Reihe von Fixes mitgeliefert werden. Testen Sie die Updates daher sorgfältig, bevor Sie sie auf Produktionsmaschinen anwenden!

Zu den genannten Angriffspunkten gesellt sich im August eine kritische Schwachstelle in SQL 2016 und 2017. Exchange wurde zudem mit Updates für Exchange 2010, 2013 und 2016 für zwei2 CVEs gepatcht. Visual Studio 2015 und 2017 runden das Bild mit einem CVE ab.

Offene Flanke bei Oracle...

Am 17. Juli hatte Oracle sein vierteljährliches Critical Patch Update (CPU) veröffentlicht. Werfen Sie einen Blick in das Security Advisory zum Patch Tuesday, das Ihnen die neuesten Updates zur Verfügung stellt – unter anderem auch für Java. Am 10. August hatte Oracle zudem ein seltenes Out-of-Band-Advisory für CVE-2018-3110 bereitgestellt. Mit einer CVSS v3-Basisbewertung von 9,9 ist diese Schwachstelle einfach auszunutzen und bietet direkten Shell-Zugriff auf Ihre Datenbank.

Sofern Sie die die Oracle-Datenbankversionen 11.2.0.4 oder 12.2.0.1 unter Windows verwenden, empfehlen wir Ihnen dringend, diesen neuesten Patch zügig zu installieren.

Beachten Sie außerdem, dass Updates für jede Oracle-Version unter Linux und Windows 12.1.0.2 bereits im Juli-CPU bereitgestellt wurden. Dieser neue Hinweis bezieht sich auf frühere Versionen der Datenbank.

... und bei Adobe

Nachdem Adobe in seinem planmäßigen Update im letzten Monat 104 Schwachstellen behoben hat, war eigentlich nicht damit zu rechnen, dass ein weiteres Reader- und Acrobat-Update zwei neue kritische Schwachstellen beheben muss. Daneben hat das Unternehmen seinen Flash Player wie üblich aktualisiert, um fünf Schwachstellen abzustellen. Ebenfalls wurden zum Patch Tuesday Updates für Creative Cloud und andere Adobe-Produkte veröffentlicht. Es ist also ratsam auch in diesem Monat eine Adobe-Patch-Routine zu fahren.

Fazit

Der Patch-Zyklus geht mit Macht weiter. Schauen Sie sich alle kürzlich veröffentlichten Sicherheitsupdates von Microsoft und Drittanbietern genau an und planen Sie entsprechend. Vielleicht bleibt Ihnen dann ja doch noch Zeit für ein paar Sonnenstrahlen und eine Erdbeer-Margarita am Pool – bis zum nächsten Patch Tuesday.