Suchen

Microsoft Patchday Oktober 2020 Microsoft schließt 87 Sicherheitslücken

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Zum Patchday im Oktober veröffentlicht Microsoft zwar nicht einen neuen Rekord an Sicherheitspatches, aber dennoch werden 11 kritische und 75 wichtige Lücken geschlossen. Ein Patch wird als „nur“ schwerwiegend eingestuft.

Zum Patchday im Oktober 2020 schließt Microsoft kritische Sicherheitslücken im TCP/IP-Stack, in Hyper-V und in Outlook.
Zum Patchday im Oktober 2020 schließt Microsoft kritische Sicherheitslücken im TCP/IP-Stack, in Hyper-V und in Outlook.
(Logo: Microsoft)

Am aktuellen Patchday im Oktober 2020 stellt Microsoft wieder für alle unterstützten Produkte und Betriebssysteme Updates zur Verfügung. Von den 87 geschlossenen Sicherheitslücken sind 11 als kritisch und 75 als wichtig eingestuft. Eine Lücke wird als schwerwiegend eingestuft, sollte also auch recht schnell geschlossen werden.

Kritische Lücke im TCP/IP-Stack von Windows 10 und Windows Server 2016/2019

Eine der wichtigsten Lücken im Oktober betrifft den TCP/IP-Stack von Windows-Computern im Zusammenhang mit IPv6-Paketen. Betroffen sind Windows 10-Arbeitsstationen, bis hin zu Windows 10 Version 2004, aber auch Windows-Server, zum Beispiel Windows Server 2016/2019. Es besteht hier die Gefahr einer Remotecodeausführung, wenn der Windows-TCP/IP-Stack ICMPv6 Router Advertisement-Pakete nicht korrekt behandelt. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, kann Code auf dem Zielserver oder -client ausführen. Dazu muss ein Angreifer speziell gestaltete ICMPv6-Router-Anzeigenpakete an den Windows-Computer senden. Das Update behebt die Schwachstelle CVE-2020-16898.

WSUS Tipps & Tricks
Bildergalerie mit 6 Bildern

Remotecode-Ausführung in Hyper-V durch Schadsoftware auf VM

Eine weitere Lücke (CVE-2020-16891) betrifft Hyper-V. Angreifer können in den VMs Schadsoftware ausführen und erlangen dadurch Zugriff auf den Host. Dadurch kann der Angreifer Code auf dem Host ausführen. Auf Hyper-V-Servern sollte die Aktualisierung also sehr schnell installiert werden. Betroffen sind auch hier Arbeitsstationen mit Windows 10, aber auch Windows-Server, bis hin zu Windows Server 2019.

Kritische Sicherheitslücke in Outlook, Office 2016/2019 und Microsoft 365 Apps

In diesem Monat wird auch eine kritische Lücke in Outlook geschlossen (CVE-2020-16947). Angreifer können Code über Outlook auf den betroffenen PCs ausführen. Es reicht bereits aus, wenn eine E-Mail mit Schadcode im Vorschaufenster angezeigt wird. Das Problem wird durch Parsen von HTML-Inhalten in einer E-Mail verursacht. Ein Angreifer, der die Schwachstelle erfolgreich ausnutzt, könnte beliebigen Code im Kontext des Systembenutzers ausführen. Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer die Kontrolle über das betroffene System übernehmen. Dadurch kann der Angreifer Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.

33 Security-Tipps für Windows 10
Bildergalerie mit 34 Bildern

(ID:46921837)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist