Zum letzten Patchday des Jahres bringt Microsoft Sicherheits-Updates für insgesamt 58 Schwachstellen, wovon neun als kritisch eingestuft sind. Diese finden sich in der Chakra Scripting Engine von Edge, in Internet Explorer 11, Exchange, Hyper-V und Sharepoint sowie in Dynamics for Finance and Operations. Ganze drei der kritischen Lecks betreffen den Exchange Server, darunter die Remote-Code-Execution-Lücke
CVE-2020-17132. Ein anderes Leck in Hyper-V,
CVE-2020-17095, erlaubt den Ausbruch aus einer virtuellen Maschine, um auf dem Host Malware auszuführen. Angreifer müssen dazu im Gastsystem eine präparierte Applikation starten. Die Ausnutzung der Sharepoint-Lücken ist vom Verhalten des betroffenen Users abhängig, und bei der Dynamics-Lücke muss der Angreifer auf dem System angemeldet sein.
Weitere nun gepatchte Schwachstellen mit Bedrohungsstufe wichtig oder weniger betreffen diverse Windows-Server-Versionen, Dynamics Nav 2015, Visual Studio 2019, Edge für Android sowie Windows 10, 8.1, 7 und RT 8.1. Wie immer gibt der
Security Update Guide etwas unübersichtliche, aber erschöpfende Auskunft über alle Schwachstellen.
Wie üblich patcht auch
Adobe seine Lösungen gleichzeitig mit
Microsoft. Hier sind der
Experience Manager, Lightroom und Prelude betroffen. Kritisch ist die Lücke
CVE-2020-24447 in Lightroom für MacOS und Windows, betroffen ist Lightroom Classic. Die abgesicherte Version ist 10.1. Auch in der Video-Logging-Software Prelude für MacOS und Windows klafft ein
kritisches Leck, das Angreifern ermöglicht, Malware mit den Berechtigungen des betroffenen Users auszuführen. Prelude 9.0.2 ist abgesichert, frühere Versionen sind verwundbar.
Bald will Adobe auch Patches für Acrobat und Acrobat Reader veröffentlichen. Der kurz vor der definitiven Abkündigung stehende Flash Player dagegen wird nicht mehr gepatcht – der Support für Flash endet am 31. Dezember 2020.
(ubi)