Patchday Dezember 2019

08.
Dez
2019
CVE-2019-1458, CVE-2019-1489, Patch Tuesday, Servicing Stack Update

Patchday Dezember 2019: Jahresendspurt bei Microsoft, Adobe und Google. Und nur noch 1 Monat bis zum EOL für Windows 7 und Server 2008. Haben Sie schon aktualisiert?

Dezember 2019 Patchday und es bleiben nur noch 14 Einkaufs-/Patchtage bis Weihnachten und nur noch ein Patch Dienstag, bevor Windows 7 und Server 2008/2008 R2 ihr unvermeidliches Ende des Supports erreichen. Wir hoffen, Sie gehören inzwischen nicht mehr zu den 59% der IT-Profis, die immer noch nicht alle ihre Benutzer auf Windows 10 aktualisiert haben. Stellen Sie außerdem sicher, dass Sie Ihre Acrobat-, Acrobat Reader- und Chrome-Versionen aktualisieren, da es in diesem Monat 21 CVEs in der Adobe-Version und 51 CVEs in den Google-Versionen gibt.

Der Dezember 2019 Patchday mit seinen 36 CVEs betrifft aber auch einige Microsoft-Produkte:
 

  • Microsoft Windows
  • Internet Explorer
  • Microsoft Office and Microsoft Office Services and Web Apps
  • SQL Server
  • Visual Studio
  • Skype für Business

Microsoft

Microsoft hat für die letzten 3 Windows 10 Editionen (1809, 1903 und 1909) Patches veröffentlich, da diese derzeit aktiv supportet werden. Für die Edition 1503 – 1803 werden nur noch Patches für vereinzelte Enterprise-Versionen und im Rahmen der LTSC-Versionen bereitgestellt. Die Home- und Pro-Versionen dieser Editionen sind inzwischen komplett ohne Support und erhalten keinerlei Patches mehr.
 

Win32k Lücke

Unter den 28 als wichtig klassifizierten Sicherheitslücken befindet sich eine, welche derzeit aktiv genutzt wird. Es betrifft den Treiber win32k.sys, welcher in mehreren Client- und Serverversionen von Windows genutzt wird. Der AV-Hersteller Kaspersky hat in seinem Blogbeitrag Windows 0-day exploit CVE-2019-1458 used in Operation WizardOpium erstmals darauf aufmerksam gemacht. Hier lautet die Empfehlung klar: patchen!
 

Servicing Stack Update

Auch mit diesem Patchday hat Microsoft wieder einige Servicing Stack Updates veröffentlich. Es betrifft diesesmal Windows 7, Server 2008, Server 2008 R2 and Server 2012.
 

Drittanbieter

Drittanbieter werden zunehmend zu einem vorrangigeren Ziel für Bedrohungsakteure. Diese geben ihnen die Möglichkeit, durch einen koordinierten Angriff auf den Anbieter viele Ziele gleichzeitig anzugreifen. Die jüngsten Ransomware-Angriffe im Gesundheitswesen haben sich an Anbieter gerichtet, die viele kleine Unternehmen unterstützen. Diese Angriffe auf mehrere Unternehmen schaffen genug “Schmerzpotential”, um hier ein größeres Lösegeld zu erpressen, wo die einzelnen Unternehmen allein sonst nicht lohnende Ziele gewesen wären.
 

End of Life

Es gibt einige Windows-End-of-Life-Daten die am 14. Januar 2020 aktiv werden. Dies betrifft Windows 7 und Server 2008\2008 R2. Nach 10 Jahren läuft nun auch der Extended Support aus und der Lebenszyklus dieser Versionen ist beendet. Es wird nun langsam wirklich Zeit, diese Systeme auf Windows 10 bzw. Windows Server 2016 bzw. 2019 zu aktualisieren. Aber auch Windows 10 Mobile hat mit diesem letztmaligen Patchday nun sein entgültiges Ende erreicht und Microsoft beschliesst hiermit seine Ambitionen in diesem Bereich. Auch Microsoft Security Essentials (MSE) ist nun EOL.

FAZIT: Ein ruhiger Jahresausklang mit 36 CVEs, wovon 7 als kritische und 28 als wichtige Sicherheitslücken klassifiziert werden. Neben den vielen Servicing Stack Updates (SSU) deuten auch die kumulativen Updates weiterhin darauf hin, dass sich alles mehr und mehr Richtung “Windows as a service” entwickelt. Es bleibt abzuwarten, ob hier die Vor- oder Nachteile überwiegen. Patch-Management hilft Ihnen in jedem Fall dabei, alle Patches und Sicherheitsupdates zu testen und zeitnah produktiv zu installieren.

Technischer Support Manager und Redakteur

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This