November-Patchday: Microsoft schließt sechs Zero-Day-Lücken

Microsoft hat die Updates für den November-Patchday zum Download freigegeben. Insgesamt stehen 55 sicherheitsrelevante Fixes zur Verfügung. Besondere Aufmerksamkeit verdienen sechs Zero-Day-Lücken, die bereits vorab öffentlich bekannt waren. Darunter sind zwei Schwachstellen, die derzeit aktiv von Hackern ausgenutzt werden.

Unter anderem ist ein Exploit für eine Anfälligkeit in Exchange Server im Umlauf. Eine nicht ausreichend Prüfung von Befehlsargumenten erlaubt unter Umständen das Einschleusen und Ausführen von Schadcode. Allerdings ist dies nur nach vorheriger Anmeldung möglich.

Microsoft Excel kann wiederum benutzt werden, um Sicherheitskontrollen zu umgehen. Auch diese Schwachstelle nehmen Hacker aktuell ins Visier. Microsoft weist darauf hin, dass für Office 2019 für Mac sowie für Office LTSC für Mac 2021 noch keine Patches zur Verfügung stehen.

Die weiteren Zero-Day-Lücken, die nicht als kritisch eingestuft sind, stecken in 3D Viewer und im Remote Desktop Protocol. Während die Bugs in 3D Viewer eine Remotecodeausführung begünstigen, lassen sich über die Löcher im Remote Desktop Protocol unter Umständen vertrauliche Informationen abrufen.

Den Versionshinweisen des Patchdays zufolge betreffen die weiteren Korrekturen Azure, Dynamics, Edge, Office, SharePoint, Windows, Power BI, Hyper-V und Visual Studio. Auch diverse Windows-Komponenten wie Hello, Installer, Kernel, NTFS-Dateisystem, Defender, Active Directory und Kryptografiedienste sind angreifbar.

Die Zero Day Initiative weist außerdem darauf hin, dass Microsoft im November eine vergleichsweise geringe Zahl von Patches bereitstellt. Vor einem Jahr seien mehr als doppelt so viele Löcher gestopft worden. Die Zero Day Initiative schließt deswegen nicht aus, dass der Dezember – normalerweise ein überschaubarer Patchday – eine größere Zahl an Fixes bringen wird als üblich.