Microsoft hat im Rahmen seiner Patch Tuesday-Updates für Januar 2024 insgesamt 48 Sicherheitslücken in seiner Software behoben. Davon werden zwei als kritisch und 46 als wichtig eingestuft. Es gibt keine Hinweise darauf, dass eines der Probleme zum Zeitpunkt der Veröffentlichung öffentlich bekannt ist oder aktiv angegriffen wird, was den zweiten aufeinander folgenden Patch Tuesday ohne Zero-Day-Schwachstellen bedeutet.
Die Fixes beziehen sich auch auf neun Sicherheitslücken, die im auf Chromium basierenden Edge-Browser behoben wurden, seit die Patch Tuesday-Updates im Dezember 2023 veröffentlicht wurden. Dazu gehört auch eine Behebung einer Zero-Day-Schwachstelle (${match}, CVSS-Score: 8,8), die laut Google aktiv ausgenutzt wurde.
Die wichtigsten behobenen Schwachstellen in diesem Monat sind:
– ${match} (CVSS-Score: 9,0) – Windows Kerberos Security Feature Bypass Vulnerability
– ${match} (CVSS-Score: 7,5) – Windows Hyper-V Remote Code Execution Vulnerability
Die ${match} ermöglichte die Umgehung des Authentifizierungsfeatures, indem sie eine Impersonation ermöglichte. Der Angriff erforderte jedoch, dass der Angreifer zuerst Zugang zum eingeschränkten Netzwerk erlangte.
Bei der ${match} ist hingegen weder eine Authentifizierung noch eine Benutzerinteraktion erforderlich, um eine Remote-Code-Ausführung zu erreichen. Allerdings ist es Voraussetzung, einen Rennzustand zu gewinnen, um einen Angriff durchzuführen.
Weitere bemerkenswerte Schwachstellen sind ${match}, ein Fehler zur Privilegienerhöhung, der den Common Log File System (CLFS) Treiber betrifft, und ${match}, ein Security-Bypass, der System.Data.SqlClient und Microsoft.Data.SqlClient betrifft.
Microsoft hat außerdem bekannt gegeben, dass die Möglichkeit, FBX-Dateien in Word, Excel, PowerPoint und Outlook in Windows standardmäßig einzufügen, aufgrund einer Sicherheitslücke (${match}) deaktiviert wird, die zu einer Remote-Code-Ausführung führen könnte.
Es ist erwähnenswert, dass Microsoft eine ähnliche Maßnahme ergriffen hat, um das SketchUp (SKP) Dateiformat in Office zu deaktivieren, nachdem ZScaler 117 Sicherheitslücken in Microsoft 365 Anwendungen entdeckt hatte.
Neben Microsoft haben auch andere Anbieter in den letzten Wochen Sicherheitsupdates veröffentlicht, um mehrere Schwachstellen zu beheben, darunter Adobe, AMD, Android, Arm, ASUS, Bosch, Cisco, Dell, F5, Fortinet, Google Chrome, Google Cloud, HP, IBM, Intel, Lenovo, Linux-Distributionen Debian, Oracle Linux, Red Hat, SUSE und Ubuntu, MediaTek, NETGEAR, Qualcomm, Samsung, SAP, Schneider Electric, Siemens, Splunk, Synology, Trend Micro und Zimbra.