Ein weiteres Patch Tuesday ist vergangen, und die wiederkehrenden Herausforderungen, die mit Sicherheitsanfälligkeiten und Programmierfehlern einhergehen, sind erneut ins Rampenlicht gerückt. Microsoft hat sein neuestes Update veröffentlicht, das über 70 Schwachstellen in verschiedenen Produktkomponenten behebt, darunter Windows, Office und Azure. Diese Sicherheitsprobleme reichen von kritischen bis hin zu moderaten Schweregraden und betreffen eine Vielzahl von Dienstleistungen und Anwendungen.
Besonders alarmierend sind drei Schwachstellen, die bereits aktiv ausgenutzt werden. Die schwerwiegendste ist CVE-2024-38014, welche eine CVSS-Bewertung von 7,8 aufweist und eine Erhöhung der Privilegien im Windows Installer ermöglicht. Dies könnte Angreifern vollständige SYSTEM-Rechte verschaffen. Das SEC Consult Vulnerability Lab hat diese Schwachstelle entdeckt. Eine weitere kritische Schwachstelle ist CVE-2024-38226, ein Sicherheitsumgehungsfehler in Microsoft Publisher, der durch das Öffnen einer manipulierten Datei ausgenutzt werden kann. Schließlich betrifft CVE-2024-38217 eine Umgehung des Mark of the Web-Identifizierungssystems von Microsoft, was die Sicherheit weiter gefährdet.
Alte Versionen und neue Probleme
Das Update umfasst auch ein schwerwiegendes Problem, das explizit Windows 10 Version 1507 betrifft, die erstmals im Juli 2015 veröffentlicht wurde. Dieses Betriebssystem ist, abgesehen von der klassischen Home- und Professional-Version, immer noch für bestimmte Unternehmen von Bedeutung. Die Schwere dieser Schwachstelle wird mit 9,8 eingestuft. Diese Anfälligkeit führt dazu, dass bereits installierte Sicherheitsupdates und Patches für optionale Komponenten unbemerkt zurückgenommen werden, wodurch die Systeme anfällig für weitere Angriffe werden. Microsoft gibt an, dass dieses Problem beim Einspielen von Updates zwischen März und August 2024 aufgetreten ist und es eine Programmierfehler ist, der die Funktionsfähigkeit des Betriebssystems beeinträchtigt.
Wenn Nutzer Sicherheitsupdates installieren, die in diesem Zeitraum veröffentlicht wurden, kann es dazu kommen, dass Windows 10 die zusätzlichen Updates auf die ursprüngliche Version zurücksetzt, die nicht die notwendigen Sicherheitskorrekturen enthält. Microsoft rät Nutzern, spezielle Updates aus diesem Monat zu installieren, um die früheren, von der Schwachstelle zurückgesetzten Korrekturen wiederherzustellen.
Sicherheit im Mittelpunkt
Microsoft behandelt dieses Problem als eine gefährliche Schwachstelle, da es die Cybersicherheitslage der Nutzer direkt betrifft. Anwender, die die Updates automatisch anwenden, haben diese Korrekturen wahrscheinlich bereits installiert. Dennoch wird Nutzern empfohlen, zusätzlich die Servicing-Stack-Updates zu installieren, um umfassend geschützt zu sein.
Zusätzlich zu den Windows-spezifischen Problemen hat Microsoft in dieser Woche auch Überarbeitungen für verschiedene andere Produkte veröffentlicht, darunter Azure und SharePoint. Kritische Schwachstellen in SharePoint erlauben es Angreifern mit entsprechenden Berechtigungen, Code aus der Ferne auszuführen. Die Sicherheitsanfälligkeiten sind zahlreich, und Microsoft hat betont, dass diese Probleme „wahrscheinlicher ausgenutzt“ werden können, was die Dringlichkeit für Updates erhöht.
Schließlich hat auch Adobe an diesem Patch Tuesday wichtige Sicherheitsupdates angekündigt. Adobe hat 19 kritische Fragen und 13 wichtige Themen angesprochen, die davon betroffen sind, darunter in ihren Programmen wie Photoshop und Acrobat. Diese Updates sind dringend erforderlich, obgleich sie mit einer niedrigeren Dringlichkeit eingestuft wurden und aktuell keine aktiven Ausnutzungen bekannt sind.