Anzeige

Patch

Satnam Narang, Staff Research Engineer bei Tenable kommentiert den aktuellen Patch Tuesday: „Die aktuelle Patch-Tuesday-Version enthält Patches für 61 CVEs, von denen vier als kritisch eingestuft werden. Im Jahr 2021 hat Microsoft in sieben der letzten neun Monate weniger als 100 CVEs gepatcht, was im krassen Gegensatz zu 2020 steht, in dem acht Monate über 100 CVEs gepatcht wurden.

Die neue Version enthält einen Fix für CVE-2021-40444, eine kritische Schwachstelle in Microsofts MSHTML (Trident)-Engine. Diese Schwachstelle wurde am 7. September aufgedeckt und Forscher entwickelten eine Reihe von Exploits, die die Leichtigkeit und Zuverlässigkeit der Ausnutzung zeigen. Ein Angreifer müsste einen Benutzer dazu bringen, ein speziell gestaltetes Microsoft Office-Dokument zu öffnen, das den Exploit-Code enthält. Es gab Warnungen, dass diese Sicherheitsanfälligkeit in Malware-Nutzlasten integriert und zur Verbreitung von Ransomware verwendet wird. Es gibt noch keine Anzeichen dafür, aber mit dem jetzt verfügbaren Patch sollten Unternehmen ihre Systeme so schnell wie möglich aktualisieren.

Microsoft hat außerdem drei Sicherheitsanfälligkeiten bezüglich der Erhöhung von Berechtigungen im Windows-Druckspooler (CVE-2021-38667, CVE-2021-38671 und CVE-2021-40447) gepatcht. In den letzten Monaten haben wir nach der Veröffentlichung von PrintNightmare im Juli einen stetigen Strom von Patches für Fehler im Windows Print Spooler gesehen. Forscher entdecken weiterhin Möglichkeiten, Print Spooler zu nutzen, und wir erwarten weitere Erkenntnisse in diesem Bereich. Eine (CVE-2021-38671) der drei Schwachstellen wird wahrscheinlich ausgenutzt. Unternehmen sollten auch dem Patchen dieser Fehler Priorität einräumen, da sie für Angreifer äußerst wertvoll sind.“

Satnam Narang, Senior Security Response Manager
Satnam Narang
Senior Security Response Manager, Tenable Network Security

Weitere Artikel

EU Regeulierung

Digital Services Act muss nachgebessert werden

Mit dem Digital Services Act (DSA) will der EU-Gesetzgeber dafür sorgen, dass der Online Handel in Zukunft ein Stück sicherer wird. Der Kommissar für Binnenmarkt, Thierry Breton, hat erfolgsgewiss in Zusammenhang mit der gestrigen Plenarabstimmung ein…

Neue Awareness-Trainings für KMU

Trotz des steigenden Bedarfs nach Awareness-Schulungen waren solche Maßnahmen für den Mittelstand bisher kaum verfügbar. Mit „Awareness PLUS“, einer E-Learning-Plattform inklusive Phishing-Simulationen, will Securepoint diese Lücke schließen.
Intel

Intel investiert Milliarden in den Bau von zwei US-Chipfabriken

Intel baut für mehr als 20 Milliarden Dollar zwei Chipfabriken in den USA. Die Produktion auf Basis modernster Technologien in den Anlagen im US-Bundesstaat Ohio soll 2025 beginnen, wie der Halbleiter-Riese am Freitag mitteilte.
IT Security

SoSafe schließt Series-B-Runde über 73 Mio. US-Dollar mit Highland Europe

Der Cyber-Security Awareness-Anbieter SoSafe hat 73 Millionen US-Dollar in einer von Highland Europe geführten Series-B-Finanzierungsrunde erhalten.
Google

2,42-Milliarden-Strafe: Google legt Einspruch ein

Der Rechtsstreit um eine Wettbewerbsstrafe in Höhe von 2,42 Milliarden Euro gegen Google kommt vor das höchste Gericht der Europäischen Union.
TikTok

TikTok kokettiert mit kostenpflichtigen Abos

TikTok bestätigte, dass es mit kostenpflichtige Abonnements liebäugelt und damit womöglich den Weg für Content-Ersteller auf der Kurzvideoplattform frei macht, für ihre Inhalte Geld zu verlangen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.