Patchday November 2019

Kann ein Patchday eigentlich jemals als langweilig bezeichnet werden? Die Patchday-Liste vom November 2019 mit Hinweisen und Schwachstellen von Microsoft und Adobe ist knapp bemessen. Aber seien Sie nicht versucht, diese Sicherheitsupdates zu verzögern oder zu ignorieren.
In den Veröffentlichungen dieses Monats sind ein weiterer Internet Explorer Zero Day und eine öffentlich zugängliche Office for Mac-Schwachstelle enthalten.
Je früher Sie ein Patch installieren, desto früher sind Sie vor bekannten Sicherheitsrisiken geschützt. Egal wie langweilig, bleiben Sie Ihrer digitalen Sicherheit verpflichtet, um Ihre Software und Systeme auf dem neuesten Stand zu halten.

Der November 2019 Patchday stellt einige Sicherheitsupdates für folgende Microsoft-Produkte zur Verfügung:

• Microsoft Windows
• Internet Explorer
• Microsoft Edge (EdgeHTML-based)
• ChakraCore
• Microsoft Office and Microsoft Office Services and Web Apps
• Open Source Software
• Microsoft Exchange Server
• Visual Studio
• Azure Stack

Microsoft

Microsoft hat Updates für Microsoft Windows, Internet Explorer und Edge-Browser, Microsoft Office und Office 365, Exchange Server, ChakraCore, Secure Boot, Visual Studio und Azure Stack veröffentlicht. Microsoft hat insgesamt 75 Schwachstellen behoben, darunter eine Zero Day IE-Schwachstelle (CVE-2019-1429) und eine Excel-Schwachstelle (CVE-2019-1457), die öffentlich bekannt gegeben wurde.

 

3rd-Party

Adobe hat Sicherheitsupdates für Animate CC, Illustrator CC, Media Encoder und Bridge CC veröffentlicht, die insgesamt 11 Schwachstellen beheben. Alle sind mit Priorität 3 eingestuft.

 

Browser

Es scheint in letzter Zeit eine Reihe von Browser-Exploits zu geben. Im September gab es einen IE Zero Day (CVE-2019-1367), gefolgt von einem Google Chrome Zero Day, der am 1. November und dann dem November Patch Tuesday IE Zero Day (CVE-2019-1429) veröffentlicht wurde.
Bringen Sie diese Browser auf den neuesten Stand!
Das Chrome-Update (78.0.3904.87) behebt zwei Schwachstellen. Eine hiervon ist der jüngste Google Chrome Zero Day (CVE-2019-13720), der eine der größten Aufregungen durch Nicht-Microsoft-Updates war. Bei der Schwachstelle handelt es sich um eine nachträgliche Ausnutzung der Speicherbeschädigung, die es einem Angreifer ermöglicht, bösartigen Code auszuführen.

 

End of Life

Es gibt einige Windows-End-of-Life-Daten die am 8. Januar aktiv werden. Dies betrifft den erweiterten Support für Windows 7 und Server 2008\2008 R2. Es wird nun langsam wirklich Zeit, diese Systeme auf Windows 10 bzw. Windows Server 2016 bzw. 2019 zu aktualisieren. Aber auch das Windows 10 Build 1803 hat mit diesem Patchday sein entgültiges Supportende für die Editionen Home, Pro Education und Pro for Workstations erreicht.

FAZIT: Erneut ein ruhiger Patchday. Trotzdem werden 75 CVEs geschlossen und 11 «kritische» Sicherheitsupdates veröffentlicht. Die Ruhe trügt also etwas, denn die vielen Servicing Stack Updates (SSU) deuten weiterhin auf umfangreiche Veränderungen in allen aktuellen Microsoft Betriebssystemen zum Jahreswechsel hin. Update-Dienste unter Windows werden irgendwann zur Voraussetzung für zukünftige Updates auf betroffenen Systemen. Microsoft veröffentlicht die SSU in der Regel mindestens ein paar Monate vorab, bevor die Änderungen vollständig in Kraft treten. Die kürzeste Zeit, die wir beobachtet haben, war zwei Monate, um eine SSU-Freigabe für zukünftige Updates zu erhalten. Patch-Management hilft Ihnen in jedem Fall dabei, alle Patches und Sicherheitsupdates zu testen und zeitnah produktiv zu installieren.