Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Microsoft Patchday November 2014

12. November 2014

Normalerweise schreiben wir nichts über die monatlichen Patchdays von Microsoft: wir schreiben ja auch nicht, wenn ein heller Feuerball in der Früh im Osten über den Horizont steigt. Fast jeder IT Verantwortliche kennt das monatliche Spiel: Lesen, bewerten, eventuell testen dann der Rollout der Patches auf Server und Clients.

Dieses Mal haben die gefixten Schwachstellen das Potential, dass die monatliche Routine gebrochen wird, und man dieses Mal etwas genauer und vor allem zeitnaher reagieren muss.

Die Zahl der Schwachstellen, die als "critical" eingestuft werden, ist lang. Die Details sind in der Zusammenfassung von Microsoft oder bei Heise nachzulesen.

Ich will auf zwei Themen besonders hinweisen:

  • Microsoft scheint mit MS14-064 die OLE-Schwachstelle endgültig gepatcht zu haben, die schon über den Sommer hinweg ausgenutzt wurde und zu der wir eine Warnung veröffentlicht haben.
  • In MS14-066 wird eine Schwachstelle in der TLS-Implementation von Microsoft beschrieben, die Remote-Code Execution erlaubt.

    In der Security-Community wird spekuliert, ob sich mit dieser Schwachstelle eventuell ein Wurm bauen ließe (wie damals bei MS08-067 der Conficker).

    Aktuell (12. Nov, Mittags) gibt es noch keinen Proof-of-Concept Code, wie man die Schwachstelle ausnutzen kann.

    Wir beobachten das weiter.

Zusammenfassung:

Bitte nehmen Sie diesen Patch-day ernst. Insbesondere alle Windows-Systeme, die TLS-Verbindungen aus dem Internet annehmen müssen (Webserver, Exchange, RDP, ...) sollten so schnell wie möglich aktualisiert werden.

Dass auch wieder dringende Patches für den Internet Explorer dabei sind, fällt unter Business as Usual. Bitte vergessen sie auch auf diese nicht.

Autor: Otmar Lendl

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
2. Oktober 2018 | Beschreibung Adobe ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
19. September 2018 | Beschreibung Adobe ...
mehr ...
Der nächste Meilenstein: [CERT.at #1000000]
26. September 2018 | ...
DoS-Schwachstelle im Kernel - keine Panik!
7. August 2018 | In der ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2014/11/26 - 10:34:11
Haftungsausschluss / Datenschutzerklärung