Patchday Februar 2020

12.
Feb
2020
Adobe, ADV200001, CVE-2020-0674, Edge, ESU, Microsoft, Mozilla, Patch Tuesday

Patchday Februar 2020: 99 Sicherheitsupdates (CVEs) wurden in diesem Monat von Microsoft veröffentlicht. Aber keine Angst: Viele dieser Sicherheitsupdates sind durch die Anwendung einiger weniger Microsoft-Updates zu lösen

Mit dem Februar 2020 Patchday hat Microsoft 99 Sicherheitslücken geschlossen. Das übertrifft die Veröffentlichung von 93 behobenen Sicherheitsproblemen im August 2019. Aber keine Angst: Die gute Nachricht ist, dass viele dieser Sicherheitsproblemen durch die Anwendung einiger weniger Microsoft-Updates gelöst werden können. Die meisten davon sind diesen Monat im Betriebssystem enthalten. Im Durchschnitt werden Ihre Betriebssystem-Updates etwa 50 Sicherheitsprobleme lösen. Die Ausnahme ist Windows 10, das zusammen mit IE und Edge 88 Sicherheitsprobleme lösen wird. Wichtiger ist es, darüber zu sprechen, welche dieser 99 Sicherheitsprobleme am kritischsten zu lösen sind und welche Produkte Sie aktualisieren müssen, um diese Löcher zu schließen. Neben Microsoft haben auch Adobe und Mozilla diesen Monat Sicherheitsupdates.

Zero-Day

Es gibt einen Zero-Day in dem Mix (CVE-2020-0674), der erstmals im letzten Monat in einem Security Advisory (ADV200001) identifiziert wurde. Fünf der Sicherheitsprobleme (einschließlich des Zero-Day) wurden öffentlich bekannt gegeben, was bedeutet, dass genügend Informationen öffentlich zugänglich gemacht wurden, um den Akteuren der Bedrohung einen Vorsprung zu verschaffen, wenn es darum geht, herauszufinden, wie sie ausgenutzt werden können. Durch die Aktualisierung des Betriebssystems oder der Browser mit ein paar Patches pro System können Sie den Großteil des Risikos in diesem Monat ausräumen.

Die wirklich gute Nachricht bei all dem ist, dass 99 Sicherheitslücken in diesem Monat wirklich nicht viel zusätzliche Arbeit für die Admins bedeuten. Die normalen Updates für Betriebssystem, Browser und Office werden die meisten Ihrer Schwachstellen von der Microsoft-Seite aus beheben. SQL- und Exchange-Administratoren erhalten diesen Monat ein wenig zusätzliche Arbeit, da beide Produkte in den veröffentlichten Updates enthalten sind.

Edge

Im Februar 2020 gibt es die ersten Sicherheitsupdates für die neue Edge-Chromium-Browser-Edition! Das stimmt, es gibt jetzt zwei Editionen von Edge – die in Windows 10 integrierte HTML-Version und die neue Chromium-Edition, die Sie auf Wunsch installieren können.

ESU

Eine weitere bemerkenswerte – nennen wir es mal Diskrepanz – sind die erweiterten Supportversionen in diesem Monat. Windows 7, Server 2008 und 2008 R2 ESU-Updates werden noch öffentlich dokumentiert und sind im Standard-WSUS-Katalog aufgeführt. Dies wird wahrscheinlich für einige Verwirrung sorgen. Bedeutet dies, dass jeder Zugang hat? Nein, Sie benötigen eine ESU bei Microsoft, um die spezifischen Kriterien für die kostenlosen Optionen zu erfüllen, die Microsoft in den Windows 7 ESU-FAQ dargelegt hat. Außerdem gibt es einen ESU-Lizenzvorbereitungs-Patch, der Folgendes besagt:

“Dieses Update bietet den vollständigen Satz an Lizenzierungsänderungen, um die Installation des ESU MAK-Zusatzschlüssels zu ermöglichen, der einer der Schritte zur Vorbereitung der Installation von erweiterten Sicherheitsupdates ist. (Für den vollständigen Satz von Schritten siehe KB4522133). Nach der Installation dieses Updates ist ein Neustart erforderlich”.

Dieser zusätzliche Patch zur Lizenzvorbereitung bedeutet, dass Sie vier Dinge bezüglich Ihrer ESU-Ziele überprüfen müssen, um sicherzustellen, dass Sie in der Lage sind, ohne Probleme zu patchen. Sie müssen sicherstellen, dass die SHA-2-Support-Updates angewendet werden, dass Sie die Voraussetzungen für das Service Stack-Update erfüllen, dass Sie diesen neuen Patch zur Lizenzvorbereitung auf die Systeme übertragen haben und dass Sie Ihren ESU-Lizenzschlüssel installiert haben.

Adobe & Mozilla

Adobe hat 17 Sicherheitslücken für Adobe Reader und Acrobat (APSB20-05) und einen CVE für Flash Player (APSB20-06) gelöst. Dies ist das erste Sicherheitsupdate für Flash Player für das Jahr 2020 und auch das erste seit September 2019. Das Update für Adobe Acrobat Reader umfasst 12 kritische Sicherheitslücken, und auch die Sicherheitslücke für Flash Player ist kritisch. Wir empfehlen, diesen beiden Updates in diesem Monat Vorrang einzuräumen. Microsofts Veröffentlichung von Flash Player deckt die neuesten Ausgaben von Windows ab. Das Flash Player-Update wird nur unter Windows 8.1 und Server 2012 und höher unterstützt.

Mozilla hat Updates für Firefox, Firefox ESR und Thunderbird veröffentlicht und löst 6, 5 und 7 Sicherheitslücken auf. Die beiden Firefox-Aktualisierungen werden von Mozilla mit einem hohen Schweregrad und die Thunderbird-Updates mit einem moderaten Schweregrad bewertet. Diese Updates sind zwar nicht dringend, aber Sie werden sie im Rahmen Ihrer normalen monatlichen Wartungsarbeiten durchführen lassen wollen.

FAZIT: Allmonatliche Routine, bei der ein Patch-Management in jedem Fall dabei helfen kann, alle Patches und Sicherheitsupdates zu testen und zeitnah produktiv zu installieren.

Technischer Support Manager und Redakteur

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 

Share This