Suchen

Microsoft Patchday Februar 2019 Handlungsbedarf bei Office und Exchange

| Autor / Redakteur: M.A. Dirk Srocke / Peter Schmitz

Mit dem Patchday im Februar behebt Microsoft verschiedene Lücken, über die Angreifer vertrauliche Informationen abgreifen konnten. Zudem verteilt der Anbieter weitere kritische Fixes für Adobe Flash Player sowie Windows und rät Nutzern an anderer Stelle, selbst tätig zu werden.

Auch zum Patchday im Februar 2019 hat Microsoft Security-Updates und Bugfixes für alle aktuellen Windows-10-Versionen veröffentlicht.
Auch zum Patchday im Februar 2019 hat Microsoft Security-Updates und Bugfixes für alle aktuellen Windows-10-Versionen veröffentlicht.
(Bild: Pixabay / CC0 )

Turnusmäßig hat Microsoft am 12. Februar seine monatlichen Patches veröffentlicht. Damit behebt der Anbieter Schwachstellen bei Adobe Flash Player, Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office and Microsoft Office Services and Web Apps, ChakraCore, .NET Framework, Microsoft Exchange Server, Microsoft Visual Studio, Azure IoT SDK, Microsoft Dynamics, Team Foundation Server sowie Visual Studio Code.

Wenngleich verschiedenste „Information Disclosures“ einen Großteil der Fixes ausmachen, liegen die als kritisch eingestufen Probleme an anderer Stelle. So behandelt Security Advisory 190003 die Schwachstelle CVE-2019-7090, über die entfernte Angreifer Code ausführen konnten. Als ebenfalls kritisch stuft Microsoft die „Latest Servicing Stack Updates“ für verschiedene Versionen von Windows Server sowie die Desktop-Systeme von Windows 7 bis Windows 10 – inklusive ARM-basierter System – ein.

Die zuvor bereits erwähnten „Information Discloures“ werden größtenteil als „important“ eingestuft. Dabei handelt es sich um verschiedene Lücken, über die Angreifer vertrauliche Daten ausspähen können. Bedroht sind unter anderem Nutzer von Office 2019, Office 365 Plus oder früherer Versionen, denen Angreifer manipulierte Excel-Dokumente unterschieben. Ähnliche Angriffsszenarien bestehen unter anderen bei Virtualisierungslösung Hyper-V, Windows Graphics Device Interface (GDI), „Human Interface Devices (HID)“-Komponente oder JScript-Engine Chakra.

Handlungsbedarf bei Exchange und Office

Bei MS Office und Exchange Server ist es laut Microsoft nicht mit dem Einspielen der Patches allein getan. Hier besteht eventuell weiterer Handlungsbedarf – was der Hersteller mit einem zusätzlichen Sternchen bei den entsprechenden Einträgen seiner Release Notes anzeigt.

So arbeitet Microsoft aktuell etwa noch an einer Lösung, um eine „Privilege Vulnerability“ beim Exchange Server zu beheben. Über diese könnte ein Angreifer per Man-in-the-Middle-Angriff die Identität eines anderen Nutzers annehmen. Als möglichen Workaround liefert Microsoft hier eine Throttling Policy, welche die EWSMaxSubscriptions auf Null setzt. Diese lasse sich nach dem Update aber auch wie folgt rückgängig machen:

Remove-ThrottlingPolicy -Identity AllUsersEWSSubscriptionBlockPolicy

Weitere Hinweise finden Exchange-Nutzer unter den Einträgen zu CVE-2019-0724 und CVE-2019-0686.

Der als CVE-2019-0540 verzeichneten „Microsoft Office Security Feature Bypass Vulnerability“ begegnet Microsoft, indem Office URLs künftig angemessen validiert. Damit verändert sich allerdings das Verhalten von Dokumenten mit eingebauten Online-Bildern. Statt dieser werde nun ein rotes Kreuz gezeigt; betrachten Nutzer die Quelle als sicher, müssten sie die entsprechende Seite zunächst per Internet Explorer oder Microsoft Edge hinzufügen.

WSUS Tipps & Tricks
Bildergalerie mit 6 Bildern

Abgelaufener Support

Last not least verweist der Hersteller auf die ablaufende Unterstützung für veraltete Windows-Versionen. So habe etwa Windows 10, Version 1703 bereits am 8. Oktober 2018 das „end of service“ erreicht. Nutzer von Windows 10 Home, Pro, Pro for Workstation und IoT Core Editions erhalten damit keine monatlichen Security-Updates mehr und sollten auf eine aktuellere Windowsausgabe wechseln.

Weitere Details zum Lebenszyklus der einzelnen Windows-Varianten liefert Microsoft übrigens auf einer separaten Webseite.

33 Security-Tipps für Windows 10
Bildergalerie mit 34 Bildern

(ID:45738630)

Über den Autor