Microsoft Patchday Februar 2019

Handlungsbedarf bei Office und Exchange

| Autor / Redakteur: Dirk Srocke / Peter Schmitz

Auch zum Patchday im Februar 2019 hat Microsoft Security-Updates und Bugfixes für alle aktuellen Windows-10-Versionen veröffentlicht.
Auch zum Patchday im Februar 2019 hat Microsoft Security-Updates und Bugfixes für alle aktuellen Windows-10-Versionen veröffentlicht. (Bild: Pixabay / CC0)

Mit dem Patchday im Februar behebt Microsoft verschiedene Lücken, über die Angreifer vertrauliche Informationen abgreifen konnten. Zudem verteilt der Anbieter weitere kritische Fixes für Adobe Flash Player sowie Windows und rät Nutzern an anderer Stelle, selbst tätig zu werden.

Turnusmäßig hat Microsoft am 12. Februar seine monatlichen Patches veröffentlicht. Damit behebt der Anbieter Schwachstellen bei Adobe Flash Player, Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office and Microsoft Office Services and Web Apps, ChakraCore, .NET Framework, Microsoft Exchange Server, Microsoft Visual Studio, Azure IoT SDK, Microsoft Dynamics, Team Foundation Server sowie Visual Studio Code.

Windows-Updates mit kostenlosen Tools im Griff

Tools für Updates und Installationspakete

Windows-Updates mit kostenlosen Tools im Griff

08.01.19 - Mit einigen praktischen und vor allem kostenlosen Zusatztools, auch von Microsoft, können Admins Probleme mit Windows Updates in Windows 10 ganz einfach beheben. Auch das Erstellen eigener Installationsmedien ist mit Zusatztools möglich. Wir geben einen Überblick zu den Möglichkeiten und stellen die besten Tools vor. lesen

Wenngleich verschiedenste „Information Disclosures“ einen Großteil der Fixes ausmachen, liegen die als kritisch eingestufen Probleme an anderer Stelle. So behandelt Security Advisory 190003 die Schwachstelle CVE-2019-7090, über die entfernte Angreifer Code ausführen konnten. Als ebenfalls kritisch stuft Microsoft die „Latest Servicing Stack Updates“ für verschiedene Versionen von Windows Server sowie die Desktop-Systeme von Windows 7 bis Windows 10 – inklusive ARM-basierter System – ein.

Die zuvor bereits erwähnten „Information Discloures“ werden größtenteil als „important“ eingestuft. Dabei handelt es sich um verschiedene Lücken, über die Angreifer vertrauliche Daten ausspähen können. Bedroht sind unter anderem Nutzer von Office 2019, Office 365 Plus oder früherer Versionen, denen Angreifer manipulierte Excel-Dokumente unterschieben. Ähnliche Angriffsszenarien bestehen unter anderen bei Virtualisierungslösung Hyper-V, Windows Graphics Device Interface (GDI), „Human Interface Devices (HID)“-Komponente oder JScript-Engine Chakra.

Handlungsbedarf bei Exchange und Office

Bei MS Office und Exchange Server ist es laut Microsoft nicht mit dem Einspielen der Patches allein getan. Hier besteht eventuell weiterer Handlungsbedarf – was der Hersteller mit einem zusätzlichen Sternchen bei den entsprechenden Einträgen seiner Release Notes anzeigt.

So arbeitet Microsoft aktuell etwa noch an einer Lösung, um eine „Privilege Vulnerability“ beim Exchange Server zu beheben. Über diese könnte ein Angreifer per Man-in-the-Middle-Angriff die Identität eines anderen Nutzers annehmen. Als möglichen Workaround liefert Microsoft hier eine Throttling Policy, welche die EWSMaxSubscriptions auf Null setzt. Diese lasse sich nach dem Update aber auch wie folgt rückgängig machen:

Remove-ThrottlingPolicy -Identity AllUsersEWSSubscriptionBlockPolicy

Weitere Hinweise finden Exchange-Nutzer unter den Einträgen zu CVE-2019-0724 und CVE-2019-0686.

Der als CVE-2019-0540 verzeichneten „Microsoft Office Security Feature Bypass Vulnerability“ begegnet Microsoft, indem Office URLs künftig angemessen validiert. Damit verändert sich allerdings das Verhalten von Dokumenten mit eingebauten Online-Bildern. Statt dieser werde nun ein rotes Kreuz gezeigt; betrachten Nutzer die Quelle als sicher, müssten sie die entsprechende Seite zunächst per Internet Explorer oder Microsoft Edge hinzufügen.

Abgelaufener Support

Last not least verweist der Hersteller auf die ablaufende Unterstützung für veraltete Windows-Versionen. So habe etwa Windows 10, Version 1703 bereits am 8. Oktober 2018 das „end of service“ erreicht. Nutzer von Windows 10 Home, Pro, Pro for Workstation und IoT Core Editions erhalten damit keine monatlichen Security-Updates mehr und sollten auf eine aktuellere Windowsausgabe wechseln.

Weitere Details zum Lebenszyklus der einzelnen Windows-Varianten liefert Microsoft übrigens auf einer separaten Webseite.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45738630 / Sicherheitslücken)