Wie im Vormonat bleibt die Zahl der beim monatlichen Patch Day beseitigten Schwachstellen im Juni deutlich unter der 100er-Marke. Von den 49 am 8. Juni behobenen Schwachstellen stuft Microsoft lediglich fünf als kritisch ein, den Rest als hohes Risiko. Kritische Lücken betreffen Windows, Office und den Internet Explorer (IE). Drei Schwachstellen waren vorab öffentlich bekannt, sechs Lücken werden bereits ausgenutzt, darunter zwei, auf die beides zutrifft. Spärliche Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates . Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf. Browser Für den Internet Explorer 11 liefert Microsoft auch diesmal wieder Updates (KB5003636), die drei Sicherheitslücken schließen. Microsoft hat zwar angekündigt , die Unterstützung für den IE auslaufen zu lassen, doch die durch andere Anwendungen genutzten IE-Komponenten werden bis zum Ende von Windows 10 weiter gepflegt, da sie Teil des Betriebssystems sind. Die Schwachstelle CVE-2021-33742 in der Windows MSHTML-Plattform ist nicht nur als kritisch eingestuft, sie wird auch bereits für Angriffe ausgenutzt. CVE-2021-31959 in der Scripting Engine ist ebenfalls als kritisch ausgewiesen, Angriffe sind jedoch bislang nicht bekannt. Der alte Edge-Browser (EdgeHTML-basiert) hat ausgedient und wird nicht mehr unterstützt. Die Updates für Edge (Chromium-basiert) liefert Microsoft unabhängig vom Update-Dienstag aus. Aktuell ist die Version 91.0.864.41 vom 3. Juni, mit der Microsoft die Schwachstelle CVE-2021-33741 behebt. Falls Sie woanders lesen, Microsoft habe im Juni 50 Lücken gestopft: Diese Edge-Lücke ist die fehlende. Office In seinen Office-Produkten hat Microsoft in diesem Monat 11 Schwachstellen beseitigt. Microsoft weist eine der vier Sharepoint-Schwachstellen als kritisch aus, die anderen sind als hohes Risiko eingestuft. Weitere sechs Lücken sind jedoch geeignet, um mit präparierten Office-Dokumenten Code einzuschleusen und auszuführen. Dazu zählt auch CVE-2021-31949 in Outlook. Immerhin schlägt diese Lücke nicht bereits in der Outlook-Vorschau zu. Windows Mehr als die Hälfte der Schwachstellen (27) verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen. Angriffe gibt es laut Microsoft auf die Schwachstelle CVE-2021-33739 im Desktop Window Manager (DWM). Diese Lücke war zudem bereits vorab öffentlich bekannt. Ihre Ausnutzung kann einem Angreifer höhere Berechtigungen verschaffen. Das macht sie zu einem Kandidaten für eine Kombination mit einer anderen Sicherheitslücke, beispielsweise in Office oder Acrobat Reader. Microsoft stuft zwei Windows-Lücken als kritisch ein. Eine (CVE-2021-31967) steckt im optionalen VP9-Videocodec aus dem Microsoft Store, der sich auch automatisch um das Update kümmert. Sie könnte ausgenutzt werden, um Code einzuschleusen und auszuführen. Ist auf Ihrem Rechner die Version 1.0.41182.0 oder höher installiert, ist das Update bereits erfolgt. Sie können das mit diesem PowerShell-Befehl prüfen:
Get-AppxPackage -Name Microsoft.VP9VideoExtensions
Die zweite kritische Schwachstelle (CVE-2021-31985) betrifft den serienmäßigen Malware-Scanner Windows Defender, genauer die Malware Protection Engine (mpengine.dll). Auch diese wird ohnehin regelmäßig automatisch aktualisiert, sollte also im Normalfall bereits abgesichert sein. Überprüfen Sie das in Einstellungen » Update und Sicherheit » Windows-Sicherheit » Windows-Sicherheit öffnen » Viren- und Bedrohungsschutz » Einstellungen (links unten) » Info . Die Modulversion 1.1.18200.3 oder höher ist nicht mehr anfällig. Alternativ geht auch dies mit der PowerShell:
Get-MpComputerStatus
Je drei Schwachstellen hat Microsoft in Paint 3D sowie im 3D Viewer beseitigt. Bis auf eine haben sie das Potenzial, um Code einzuschleusen und auszuführen. Dazu müsste ein Benutzer ein speziell präparierte Datei öffnen, zum Beispiel eine STL-Datei mit Paint 3D. Wenn Sie Microsoft Intune einsetzen, um mobile Geräte und Anwendungen zu verwalten, sollten Sie umgehend das automatische Update gegen die Schwachstelle CVE-2021-31980 einspielen. Ein Angreifer könnte ohne Anmeldung oder Zutun eines Benutzers eingeschleusten Code ausführen. Extended Security Updates (ESU) Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 14 Lücken schließen. Darunter sind auch die beiden oben genannten, als kritisch ausgewiesenen Schwachstellen in IE-Komponenten. Auch im Juni gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software . Der nächste turnusmäßige Patch Day ist am 13. Juli.