Diese Webseite verwendet Cookies. Mehr Infos

Suchmaschinenoptimierung
mit Content-Marketing - Ihre News
Ivanti |

Vom Sommerloch ist bei Microsoft in punkto Patching keine Spur

Bewerten Sie hier diesen Artikel:
0 Bewertungen (Durchschnitt: 0)


Ivanti Analyse des Patch Tuesday im Juli


Trotz der zwischenzeitlichen Hitzewelle ist von einem Sommerloch bei Microsoft keine Spur. Vielmehr hat das Unternehmen einen wahren Update-Rundumschlag gestartet. Insgesamt nimmt sich Microsoft 77 individuelle CVEs vor, darunter zwei Zero-Day-Schwachstellen...

Frankfurt am Main, 10.07.2019 (PresseBox) - Trotz der zwischenzeitlichen Hitzewelle ist von einem Sommerloch bei Microsoft keine Spur. Vielmehr hat das Unternehmen einen wahren Update-Rundumschlag gestartet.

Insgesamt nimmt sich Microsoft 77 individuelle CVEs vor, darunter zwei Zero-Day-Schwachstellen mit bereits gemeldeten Attacken und sechs öffentlich bekannte Sicherheitslücken. Dafür gibt es Updates für Windows-OS, Office, .Net, SQL, VSTS und einen Hinweis für Microsoft Exchange Server. Zusätzlich stehen Updates für die Entwicklungsbinärdateien zur Verfügung: Azure IoT Edge, Azure Kubernetes Service, Azure Automation, Azure DevOps Server, ASP.Net Core, .Net Core und Chakra Core.

Beginnen wir mit den bereits gemeldeten Attacken. Bei (CVE-2019-0880) wird eine Sicherheitslücke in der Rechtevergabe von splwow64 ausgenutzt, um sich eine Erweiterung der Berechtigungen zu erschleichen. Betroffen sind Windows 8.1, Server 2012 und nachfolgende Betriebssysteme. Angreifer können ihre Berechtigungsstufe von einer niedrigen auf eine mittlere Integrität hochstufen. Sobald dies geschehen ist, können Angreifer eine andere Schwachstelle ausnutzen, über sich auch Code ausführen lässt.

Angriffe auf die Rechtevergabe liegen anscheinend im Trend, denn auch bei (CVE-2019-1132) geht es wieder genau darum. In diesem Fall liegt die Schwachstelle bei Win32k und rückt damit Windows 7, Server 2008 und Server 2008 R2 ins Visier der Angreifer. Wenn es Hackern gelingt, sich am System anzumelden, können sie über eine weitere Schwachstelle die volle Kontrolle über das System übernehmen.

Wenig Neues zum Patch Tuesday außerhalb von Microsoft

Außerhalb von Microsoft gibt es nur eine überschaubare Anzahl von Neuigkeiten. Mozilla veröffentlichte Updates für Firefox, wobei ESR nicht weniger als 21 Schwachstellen behebt. Die Patches werden als dringend eingestuft und beziehen sich auf Sicherheitslücken, die in Offenlegung von Informationen, Sandbox Escapes und Remote Code-Ausführung münden können.

Java verändert zum Patch Tuesday den Update-Prozess

Aber auch bei den Entwickler-Tools gibt es Neuigkeiten. Da die Branche den Wandel zu DevOps und die Integration mit Development-Binaries wie Java fortsetzt, gibt es einiges, dass Unternehmen bei der Verwaltung der Schwachstellen in ihrer Umgebung beachten sollten: Java 11 änderte den Update-Prozess und verzichtet künftig auf Java Runtime Environment (JRE) und das Java Development Kit (JDK). Bei Java-8-Anwendungen wurde die Applikation von einem Entwickler mit dem JDK erstellt. Wenn die Anwendung auf einem System implementiert wurde, musste anschließend Java JRE ausgeführt werden. In der Regel erforderte es keine Änderung, wenn Oracle ein Update veröffentlichte, allerdings musste die JRE-Instanz aktualisiert werden, um Schwachstellen zu beseitigen. In Java 11 sind die JRE-Komponenten direkt integriert. Bei Java 11 Updates, die Schwachstellen beheben, müssen Entwickler ihre Version des JDK aktualisieren und die Anwendung erneut erstellen, wenn sie die darin enthaltenen JRE-Komponenten einbinden wollen.

Und damit schießt sich der Kreis diesen Monat auch wieder zu Microsoft. Denn auch hier wurde fleißig an Updates für Entwicklungstools geschraubt, darunter.Net Core und ASP.Net Core. Auch dort muss die die SDK-Komponente aktualisiert und anschließend die Anwendung neu erstellt werden, um die Schwachstellen zu beheben. Weitere Beispiele für diese Art der Development-Binaries sind Apache Struts, ChakraCore, ASP.NET CORE, Open Enclave SDK und viele andere.


Für den Inhalt der Pressemitteilung ist der Einsteller, PresseBox.de, verantwortlich.

Pressemitteilungstext: 480 Wörter, 3900 Zeichen. Pressemitteilung reklamieren


Kommentare:

Es wurde noch kein Kommentar zu diesem Thema abgegeben.



Ihr Kommentar zum Thema





Weitere Pressemitteilungen von Ivanti lesen:

Ivanti | 06.03.2019

Wenn Zeit zum sicherheitskritischen Faktor wird: Ivanti stellt All-in-One Patch-Management-Lösung vor


Frankfurt am Main, 06.03.2019 (PresseBox) - Ivanti hat mit Security Controls eine neue Lösung für integriertes Patch Management vorgestellt. Sie bietet umfassendes Patch-Management für Betriebssysteme und Anwendungen von Drittanbietern auf physischen und virtuellen Servern sowie Desktops. Zudem ermöglicht sie dynamisches Whitelisting und detaillierte Rechteverwaltung über eine einzige Managem...
Ivanti | 10.10.2018

Ivanti Analyse des Patch Tuesday im Oktober: ruhiges Herbstwetter im Patchmanagement


Frankfurt am Main, 10.10.2018 (PresseBox) - Microsoft gönnt allen IT-Verantwortlichen im Oktober eine kleine Verschnaufpause – zumindest, was die aktuellen Updates anbetrifft. Zum Patch Tuesday vermeldet Redmond gerade einmal einen Zero Day Exploit und eine Schwachstelle, die öffentlich bekannt gegeben wurde. Und was noch erstaunlicher ist: Es gab in diesem Monat kein einziges Sicherheitsupdat...
Ivanti | 28.09.2018

Ivanti Studie zu Frauen in Tech-Berufen: Innovative Produkte, verstaubte Geschlechterrollen


Frankfurt am Main, 28.09.2018 (PresseBox) - Deutlich mehr als die Hälfte (63 Prozent) der Frauen in Tech-Berufen sind der Meinung, aufgrund ihres Geschlechts im Beruf benachteiligt zu werden. Zu diesem Ergebnis gelangt der Ivanti Women in Tech Survey Report 2018. Dazu befragte Ivanti weltweit 500 Frauen aus Technologiebranchen. Insgesamt kristallisiert sich heraus, dass die eigentlich fortschritt...