Wie immer am zweiten Dienstag des Monats fand in dieser Woche der erste Patchday des neuen Jahres bei Microsoft, Adobe, SAP und Co. statt.
Microsoft
Microsoft, schloß dabei auch eine immense Sicherheitslücke: Journalist Brian Krebs aus den USA veröffentlichte schon vorab Details zu dieser Schwachstelle in seinem Blog.
Demnach lässt sich über die als „wichtig“ eingestufte Lücke in der CryptoAPI bösartige Software auf eine Weise verstecken, dass der Rechner sie als vertrauenswürdiges Programm erkennt.
Die kostenlosen Sicherheits-Patches für Windows 7 gab es an diesem Patchday zum letzten Mal, daher sollten Leute, die die abgekündigte Version des Betriebssystems immer noch nutzen, jetzt dringend auf Windows 10 umsteigen, denn Windows 7 wird seit vorgestern mit jedem Tag unsicherer.
Das Upgrade auf Windows 10 gibt es sogar immer noch kostenlos: Installieren Sie zu dem Zweck einfach den Windows-10-Update-Assistenten.
Über alle Produkte schließt Microsoft im Januar 2020 49 Sicherheitslücken, von denen acht als „kritisch“ eingestuft sind. Die komplette Übersicht sämtlicher Januar-Updates finden Sie in Microsofts Security Update Guide.
Adobe
Auch Adobe hat am Patch-Dienstag Sicherheitsupdates herausgegeben, die mehrere Lücken in der Content-Management-Lösung Experience Manager (AEM) für alle Plattformen und im Illustrator CC für Windows schließen.
Besonders Nutzer des Illustrators sollten zügig diese Updates einspielen, weil Angreifer die insgesamt fünf kritische Lücken (CVE-2020-3710, CVE-2020-3711, CVE-2020-3712, CVE-2020-3713, CVE-2020-3714) nutzen könnten, um beliebigen Schadcode im Kontext des angemeldeten Nutzers auszuführen.
In seinem Security Advisory zum Illustrator gibt Adobe an, dass sämtliche Versionen von Illustrator CC 2019 bis zur Version 24.0 verwundbar sein sollen.
SAP
SAP hat am ersten Patchday 2020 nur Lücken mit Schweregrad „medium“ geschlossen. Patches wurden für einige Versionen von SAP Process Integration, NetWeaver ICM, Realtech RTCISM 100, SAP Disclosure Management, Automated Note Search Tool, SAP UI und SAP Leasing bereit gestellt.
Die damit geschlossenen Sicherheitslücken könnten Angreifer unter anderem dazu ausnutzen, Angriffe per Cross-Site-Scripting (CSS) oder Denial-of-Service (DoS) durchzuführen oder sich sogar Zugriffsrechte auf den Rechnern zu verschaffen.
Nähere Details zu den Sicherheitslücken, betroffenen Software-Versionen und Updates finden Sie wie immer SAPs Security Advisory.