November-Patchday: Microsoft schließt sechs Zero-Day-Lücken

Microsoft hat die Updates für den November-Patchday zum Download freigegeben. Insgesamt stehen 55 sicherheitsrelevante Fixes zur Verfügung. Besondere Aufmerksamkeit verdienen sechs Zero-Day-Lücken, die bereits vorab öffentlich bekannt waren. Darunter sind zwei Schwachstellen, die derzeit aktiv von Hackern ausgenutzt werden.

Unter anderem ist ein Exploit für eine Anfälligkeit in Exchange Server im Umlauf. Eine nicht ausreichend Prüfung von Befehlsargumenten erlaubt unter Umständen das Einschleusen und Ausführen von Schadcode. Allerdings ist dies nur nach vorheriger Anmeldung möglich.

Microsoft Excel kann wiederum benutzt werden, um Sicherheitskontrollen zu umgehen. Auch diese Schwachstelle nehmen Hacker aktuell ins Visier. Microsoft weist darauf hin, dass für Office 2019 für Mac sowie für Office LTSC für Mac 2021 noch keine Patches zur Verfügung stehen.

Die weiteren Zero-Day-Lücken, die nicht als kritisch eingestuft sind, stecken in 3D Viewer und im Remote Desktop Protocol. Während die Bugs in 3D Viewer eine Remotecodeausführung begünstigen, lassen sich über die Löcher im Remote Desktop Protocol unter Umständen vertrauliche Informationen abrufen.

Den Versionshinweisen des Patchdays zufolge betreffen die weiteren Korrekturen Azure, Dynamics, Edge, Office, SharePoint, Windows, Power BI, Hyper-V und Visual Studio. Auch diverse Windows-Komponenten wie Hello, Installer, Kernel, NTFS-Dateisystem, Defender, Active Directory und Kryptografiedienste sind angreifbar.

Die Zero Day Initiative weist außerdem darauf hin, dass Microsoft im November eine vergleichsweise geringe Zahl von Patches bereitstellt. Vor einem Jahr seien mehr als doppelt so viele Löcher gestopft worden. Die Zero Day Initiative schließt deswegen nicht aus, dass der Dezember – normalerweise ein überschaubarer Patchday – eine größere Zahl an Fixes bringen wird als üblich.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Remote Access Trojaner über gefälschte Webseite der BW-Landesregierung

PowerShell-RAT nimmt Personen ins Visier, die Informationen über die aktuelle Lage in der Ukraine suchen.

7 Stunden ago

Angespannte Risikolage verunsichert deutsche Unternehmen stark

Zahl der "Cyber-Experten" in Deutschland sinkt um 17 Prozentpunkte auf 3 Prozent. Ein Viertel des…

7 Stunden ago

Zyxel schließt schwer- wiegende Lücke in VPN- und Firewall-Produkten

Sie erlaubt eine Remotecodeausführung. Eine vorherige Authentifizierung ist nicht erforderlich. Zyxel veröffentlicht seinen Patch stillschweigend.

12 Stunden ago

Wissen, was in intelligenten Produktionsanlagen drin steckt

IT-Experten fordern eine Bill of Materials (SBOM) für Gerätesoftware.

13 Stunden ago

Cyber-Versicherungen: Nachfrage übersteigt Angebot

Wer sich an den Sicherheitsvorgaben der Cyber-Versicherer orientiert, kann als Unternehmen sein Cyber-Risiko noch abdecken,…

14 Stunden ago

Nicht-IT-Beschäftigte sind erhebliches Risiko für Unternehmen

Laut IT-Führungskräften sind nicht-technische Mitarbeiter schlecht auf einen Cyberangriff vorbereitet.

14 Stunden ago