Microsoft hat am gestrigen Mai-Patchday 38 Sicherheitslücken in Windows, Office, der Graphics-Komponente, dem Bluetooth-Treiber, SysInternals, Teams und Visual Studio Code geschlossen. Zwei weitere Flicken, die den Webbrowser Edge (Chromium-basiert) betreffen, hatte Microsoft bereits am 5. Mai 2023 veröffentlicht. Sechs Schwachstellen wurden als kritisch eingestuft, von 33 geht eine hohe Gefahr aus und eine ist von mittlerer Schwere. Bei den beiden hochgefährlichen Fehlern CVE-2023-29336 und CVE-2023-24932 handelt es sich um 0-Day-Lücken, die bereits im Vorfeld ausgenutzt wurden.

 [ mehr ]

Microsoft hat im April 96 Sicherheitslücken in Windows, Office, Edge (Chromium-basiert), der Graphics-Komponente, dem Bluetooth-Treiber, den Drucker- und PostScript-Treibern, Azure Machine Learning und Service Connector, Defender für Endpoint, Dynamics und Dynamics 365 Customer Voice, Visual Studio nebst Visual Studio Code und .NET Core, dem Message Queuing und dem WDAC OLE DB-Anbieter für SQL geschlossen. Sieben Schwachstellen wurden als kritisch eingestuft, von den übrigen 89 geht eine hohe Gefahr aus. Bei CVE-2023-28252, einem hochgefährlichen Fehler, handelt es sich um eine 0-Day-Lücke, die bereits im Vorfeld ausgenutzt wurde.

 [ mehr ]

• AVMs bester DSL-Router mit Wi-Fi 6: FRITZ!Box 7590 AX (Modell für Deutschland)
• AVMs Glasfaser-Router mit Wi-Fi 6: FRITZ!Box 5590 Fiber (Modell für Deutschland)
• AVMs bester Mesh-Repeater mit Wi-Fi 6: FRITZ!Repeater 6000

Alle Preise verstehen sich inklusive Mehrwertsteuer und zuzüglich Versandkosten. Kostenlose Lieferung ab einem Bestellwert von 29 Euro.

Microsoft hat im März 81 Sicherheitslücken in Windows, Office, Edge (Chromium-basiert), der Graphics-Komponente, dem Bluetooth-Treiber, OneDrive, dem Client-Server-Runtime-Subsystem (CSRSS), dem Druckertreiber und dem PostScript-Druckertreiber, dem Internet Control Message Protocol (ICMP), dem RAS-Dienst Point-to-Point-Tunneling-Protokoll, Visual Studio, Azure, Dynamics und Service Fabric geschlossen. Neun Schwachstellen wurden als kritisch eingestuft, von 71 geht eine hohe Gefahr aus und eine Umgehung von Sicherheitsmaßnahmen wurde als moderat bewertet. Bei zwei Schwachstellen handelt es sich um 0-Day-Lücken, die bereits im Vorfeld ausgenutzt wurden. Insbesondere die kritische 0-Day-Lücke in Outlook (CVE-2023-23397; CVSS v3.1: 9,8) hat es in sich, doch auch die beiden kritischen Fehler in der Referenzumsetzung für TPM 2.0 (CVE-2023-1017 und CVE-2023-1018; CVSS v3.1: 8,8) sind nicht ohne!

 [ mehr ]

Microsoft hat im Februar 78 Sicherheitslücken in Windows, Office, Edge (Chromium-basiert), .NET und Visual Studio, 3D Builder, HoloLens, Azure, dem Defender für Endpoint und IoT, Dynamics, dem Exchange Server, der Graphics-Komponente, dem Internet Storage Name Service, dem PostScript-Druckertreiber, Power BI, den SQL-Servern und dem WDAC OLE DB-Anbieter für SQL geschlossen. Neun Schwachstellen wurden als kritisch eingestuft, von 68 geht eine hohe Gefahr aus und für ein Datenleck in HoloLens 1 wurde kein Schweregrad vergeben. Bei drei hochgefährlichen Schwachstellen handelt es sich um 0-Day-Lücken, die bereits im Vorfeld ausgenutzt wurden.

 [ mehr ]

Microsoft hat im Januar stolze 98 Sicherheitslücken in Windows, Office, .NET Core, dem 3D Builder, dem Azure Service Fabric Container, dem Bluetooth-Treiber, dem Exchange Server, der Graphics-Komponente, dem Local Security Authority Server (lsasrv), dem Message Queuing, dem WDAC OLE DB-Anbieter für SQL und Visual Studio Code geschlossen. Elf Schwachstellen wurden als kritisch eingestuft und von den übrigen geht eine hohe Gefahr aus. Auch die 0-Day-Lücke (CVE-2023-21674) stellt eine hohe Gefahr dar, es handelt sich um eine Rechteerweiterung im ALPC (Advanced Local Procedure Call).

 [ mehr ]

Microsoft hat im Dezember 49 Sicherheitslücken in Windows, Office, Edge (Chromium-basiert), Azure Arc, Dynamics, dem .NET Framework, SysInternals, der Graphics-Komponente, dem Bluetoothtreiber und dem Client-Server-Runtime-Subsystem (CSRSS) geschlossen. Sechs Schwachstellen wurden als kritisch eingestuft, von 41 geht eine hohe Gefahr aus und die 0-Day-Lücke ist von mittlerer Schwere. Darüber hinaus hat Microsoft Maßnahmen gegen eine böswillige Nutzung signierter Treiber ergriffen und die verantwortlichen Konten im Programm für Entwickler geschlossen sowie Sperrerkennungen implementiert.

 [ mehr ]

Microsoft hat mit der allgemeinen Bereitstellung von Windows 10 Version 22H2 (Build 19045.2130) begonnen. Bisher wird die neue Version als optionales Update angeboten und noch nicht automatisch installiert. Auf Geräten, die bisher Windows 10 Version 20H2 oder neuer fahren, wird die Version 22H2 ähnlich schnell wie die monatlichen Updates eingespielt. Nutzer älterer Versionen von Windows 10 sollten deutlich mehr Zeit einplanen.

 [ mehr ]

Microsoft hat im September 63 Sicherheitslücken in Windows, Office, Edge (Chromium-basiert), Azure Arc, der Cache-Spekulation, dem DNS-Server (Rolle), Dynamics, der Graphics-Komponente, HTTP.sys, dem .NET Framework, dem Registrierungsdienst für Netzwerkgeräte (NDES), SPNEGO Extended Negotiation (Simple and Protected GSSAPI Negotiation Mechanism), Visual Studio und Visual Studio Code geschlossen. Fünf Schwachstellen wurden als kritisch eingestuft, von den übrigen geht eine hohe Gefahr aus. Eine hochgefährliche Rechteerweiterungen im Treiber des gemeinsamen Protokolldateisystems wurde schon im Vorfeld ausgenutzt.

 [ mehr ]

Microsoft hat im August 121 Sicherheitslücken in Windows, den Active Directory Domain Services, dem ATA-Port-Treiber, Azure (Batch Knoten-Agent, Echtzeitbetriebssystem, Site Recovery, Sphere), dem Bluetooth-Treiber, Edge (Chromium-basiert), dem Exchange Server, .NET Core, dem RAS-Dienst Point-to-Point-Tunneling-Protokoll, dem System Center Operations Manager und Visual Studio geschlossen. Satte 17 Schwachstellen wurden als kritisch eingestuft, von den übrigen geht eine hohe Gefahr aus. Eine hochgefährliche Remote-Code-Ausführung über das Windows Support Diagnostic Tool (MSDT) wurde einer Vorwarnzeit von drei Jahren zum Trotz schon im Vorfeld ausgenutzt.

 [ mehr ]

Microsoft hat im Juli 84 Sicherheitslücken in Windows, Azure Site Recovery und Storage-Bibliothek, Defender für Endpoint, dem DNS-Server (Rolle), Edge (Chromium-basiert), der Graphics-Komponente, Office, Skype for Business und Microsoft Lync sowie Xbox und nicht näher definierter Open-Source-Software geschlossen. Als weitere Baustelle wird die CPU-Verzweigung bei Prozessoren von AMD aufgeführt, hier wurde das Datenleck Hertzbleed abgedichtet. Vier Schwachstellen wurden als kritisch eingestuft, von den übrigen geht eine hohe Gefahr aus. Eine hochgefährliche Rechteausweitung über das Client-Server-Runtime-Subsystem (CSRSS) wurde bereits im Vorfeld ausgenutzt.

 [ mehr ]

Microsoft hat heute 55 Schwachstellen gestopft und darunter befinden sich auch vier Datenlecks in Prozessoren des Herstellers Intel. Während Microsofts Maßnahmen lediglich das Risiko von Angriffen mindern, müssen sich Firmware-Updates um die eigentlichen Ursachen kümmern.

 [ mehr ]

Microsoft hat im Juni 55 Sicherheitslücken in Windows, Edge (Chromium-basiert), .NET und Visual Studio, Azure (OMI, Real Time Operating System, Service Fabric Container), dem Remote Volume Shadow Copy Service (RVSS) und dem SQL-Server geschlossen. Als weitere Baustelle wird Intel aufgeführt, denn in etlichen Prozessoren des Herstellers mussten vier Datenlecks abgedichtet werden. Die Windows-Flicken vermindern dabei nur das Risiko, zusätzlich ist ein Firmware-Update erforderlich. Drei Schwachstellen wurden als kritisch eingestuft, von den übrigen geht eine hohe Gefahr aus. 0-Day-Lücken gab es diesmal nicht.

 [ mehr ]

Mein Windows 10 Pro Version 21H2 leidet im aktuellen Build 19044.1706 an etwas, was ich mit "die Suchleiste aus dem Kindergarten" umschreiben möchte. Offenbar hatte man bei Microsoft die tolle Idee, statt lange überfälliger Änderungen lieber ein paar affig-bunte Bildchen in die Suchleiste zu hauen.

 [ mehr ]

Microsoft hat im Mai 73 Sicherheitslücken in Windows, dem Exchange Server, der Graphics-Komponente, dem Local Security Authority Server (lsasrv), .NET, den selbstgehosteten Integration-Runtimes, Visual Studio und Visual Studio Code geschlossen. Sechs Schwachstellen wurden als kritisch eingestuft, von 66 geht eine hohe Gefahr aus und eine ist vergleichsweise harmlos. Der schwerwiegendste Bug steckt im Netzwerkdateisystem NFS und gefährdet praktisch alle Windows-Server. Unter den hochgefährlichen Sicherheitsanfälligkeiten findet sich auch eine 0-Day-Lücke.

 [ mehr ]

Microsoft hat im April 117 Sicherheitslücken in Windows, Edge (Chromium-basiert), Office, den Active Directory Domain Services, der Azure SDK und Azure Site Recovery, dem Bluetooth-Treiber, dem DNS-Server (Rolle), Dynamics, der Graphics-Komponente, dem Lightweight Directory Access-Protokoll (LDAP), dem Local Security Authority Server (LSASRV), dem .NET Framework, Power BI, Skype for Business, Visual Studio nebst Visual Studio Code und dem YARP Reverse Proxy geschlossen. Neun Schwachstellen wurden als kritisch eingestuft, von allen übrigen geht eine hohe Gefahr aus. Unter den hochgefährlichen Sicherheitsanfälligkeiten findet sich eine 0-Day-Lücke.

 [ mehr ]

Microsoft hat im März 71 Sicherheitslücken in Windows, Edge (Chromium-basiert), Office, der Skype-Erweiterung für Chrome, dem Exchange Server, Paint 3D, Intune, dem Defender (Endpoint sowie IoT), .NET, Visual Studio und Visual Studio Code, Azure Site Recovery sowie der XBox geschlossen. Drei Schwachstellen wurden als kritisch eingestuft, von allen übrigen geht eine hohe Gefahr aus. Keine der Sicherheitsanfälligkeiten wurde im Vorfeld ausgenutzt.

 [ mehr ]

AMD hat ein Problem mit der TPM-Implementierung seiner Ryzen-Plattformen bestätigt. In bestimmten Systemkonfigurationen mit aktiviertem Firmware Trusted Platform Module (fTPM) kann es dazu kommen, dass der PC ins Stocken gerät. Der Mauszeiger hakelt, die Tastaur reagiert nicht mehr und die Audiowiedergabe hängt. Abhilfe sollen UEFI-Updates, AMD selbst spricht fälschlicherweise von BIOS-Updates, für die Mainboards der betroffenen Computer schaffen.

 [ mehr ]

Seit der Freigabe des Kernel 5.8 am 3. August 2020 steckte in Linux und Android eine kritische Sicherheitslücke (CVE-2022-0847), welche das Überschreiben beliebiger schreibgeschützter Dateien ermöglichte. Selbst schreibgeschützte Partitionen waren vor diesem Angriff nicht gefeit, so dass ein Angreifer ohne besondere Rechte das ganze System übernehmen konnte. Glücklicherweise werden die passenden Updates schon seit andere Geräte erreichen werden, steht wie üblich in den Sternen.

 [ mehr ]

Microsoft hat im Februar 47 Sicherheitslücken in Windows, Edge (Chromium-basiert), OneDrive, Office, Teams, Dynamics samt Dynamics GP, dem Azure Data Explorer, dem Kestrel Webserver, dem SQL Server, Visual Studio Code, den Sicherheitsdiensten zur Verwaltung von Roaming-Rechten und Power BI geschlossen. Von allen Schwachstellen geht eine hohe Gefahr aus. Kritische Fehler gibt es ausnahmsweise nicht und es finden sich auch keine 0-Day-Lücken, also Fehler, die bereits im Vorfeld ausgenutzt wurden, auf der Liste.

 [ mehr ]

Microsoft hat im Januar 97 Sicherheitslücken in Windows, Edge (Chromium-basiert), Office, Dynamics, dem Exchange Server, dem .NET-Framework, Teams sowie Open-Source-Software geschlossen. Neun Sicherheitslücken sind kritischer Natur, alle übrigen bergen eine hohe Gefahr. 0-Day-Lücken, also Fehler, die bereits im Vorfeld ausgenutzt wurden, gibt es diesmal keine.

 [ mehr ]

Microsoft bietet ab sofort die Version 21H2 von Windows 10 für alle, die nicht auf Windows 11 wechseln können oder wollen, als Update an. Windows 10 21H2 bringt Unterstützung für den WLAN-Standard WPA3 H2E und ermöglicht den Einsatz von GPU-Compute im Windows Subsystem for Linux (WSL) sowie in Azure IoT Edge for Linux on Windows (EFLOW). In Firmenumgebungen soll Windows Hello for Business dank Coud Trust Bereitstellungen ohne Kennwort ermöglichen.

 [ mehr ]

Microsoft hat im November 55 Sicherheitslücken in Windows, Edge (Chromium-basiert) samt IE-Modus, Office, dem Exchange Server, dem 3D-Viewer, Azure samt RTOS und Sphere, Dynamics, Power BI sowie Visual Studio und Visual Studio Code geschlossen. Sechs Sicherheitslücken sind kritischer Natur, alle übrigen bergen eine hohe Gefahr. Bei zwei hochgefährlichen Bugs handelt es sich um 0-Day-Lücken, die bereits im Vorfeld ausgenutzt wurden.

 [ mehr ]

Microsoft hat im Oktober 74 Sicherheitslücken in Windows, Office, Edge (Chromium-basiert für Windows), den Active Directory-Verbunddiensten (AD FS), der DWM-Kernbibliothek, Dynamics, dem Exchange Server, der Graphics-Komponente, dem Konsolenfenster-Host, HTTP.sys, Intune, dem Rich-Text-Bearbeitungssteuerelement, im System Center und Visual Studio nebst .NET Core geschlossen. Drei Sicherheitslücken sind kritischer Natur, 70 bergen eine hohe Gefahr und eine ist vergleichsweise harmlos. Bei einem der hochgefährlichen Bugs handelt es sich um eine 0-Day-Lücke. Als Premiere gibt es die ersten kritischen Sicherheitslücken in Windows 11 und Windows Server 2022.

 [ mehr ]

Windows 11, Microsofts Abwrackprogramm für PCs, deren Garantie abgelaufen ist, ist ab sofort allgemein verfügbar, wird aber nur wenigen, ausgewählten PCs zum Download angeboten. Bis Mitte 2022 sollen die übrigen Computer, welche die Mindestanforderungen erfüllen, freigeschaltet werden. Wer nicht warten will, kann Windows 11 per Media Creation Tool oder ISO-Abbild installieren, doch das ist riskant - ohne vorheriges Backup würden wir diese Vorgehensweise nicht empfehlen! Zudem geht es bei Windows 11 auch gar nicht um das Upgrade bestehender Computer, sondern um den Verkauf neuer PCs.

 [ mehr ]

Microsoft hat im September 60 Sicherheitslücken in Windows, Office, Edge (Chromium-basiert für Windows sowie Edge für Android), den Accessibility Insights for Android, Azure, Dynamics Business Central Control, der MPEG-2-Videoerweiterung und Visual Studio geschlossen. Drei Sicherheitslücken sind kritischer Natur und 56 bergen eine hohe Gefahr. Bleibt ein unkontrollierter Schreibzugriff in Microsoft Edge (Chrome-basiert), welcher seitens Microsoft keine Risikoeinstufung erhalten hat, da das Problem (CVE-2021-30632) in Googles JavaScript-Engine V8 steckt. Google selbst spricht von einem hohen Risiko. Und dann ist da noch eine 0-Day-Lücke, die kurz vor dem Patch-Day gestopft wurde.

 [ mehr ]

Windows 11, Microsofts Abwrackprogramm für PCs, deren Garantie abgelaufen ist, wird offiziell am 5. Oktober 2021 zur Installation freigegeben. Zunächst wird das kostenlose Upgrade nur auf bestimmten PCs angeboten, weitere sollen dann bis Mitte 2022 nach und nach freigeschaltet werden. Im Vordergrund stehen allerdings neue Computer, welche die jeweiligen Hersteller mit Windows 11 bewerben werden.

 [ mehr ]

Microsoft hat im August 44 Sicherheitslücken in Windows, Office, .NET Core und Visual Studio, der Skript-Engine, ASP .NET, Azure, Dynamics, der Graphics-Komponente und dem Remotedesktopclient geschlossen. Sieben der 44 Sicherheitslücken sind kritischer Natur, die restlichen Schwachstellen bergen allesamt eine hohe Gefahr. Zwei Lücken, darunter eine kritische, wurden bereits vorab öffentlich gemacht. Eine dritte wird bereits angegriffen.

 [ mehr ]

Mit der Veröffentlichung von iOS 15, iPadOS 15, macOS Monterey, tvOS 15 und watchOS 8 wird Apple die Siri-Unterstützung für Drittanbieter-Apps (SiriKit) massiv beschneiden. Die App-Entwickler sollen schleunigst alle Hinweise auf die betroffenen Befehle aus ihren Apps entfernen. Die eigentlichen Aufrufe können vorerst im Quellcode verbleiben, denn Apple wird diese abfangen. Statt die gewünschte Funktion auszuführen, wird Siri dann nur sagen, dass sie diesen Befehl nicht mehr unterstützt - unser Vorschlag: Ich bin zu alt für diesen Scheiß!.

 [ mehr ]

Die inzwischen geschlossene 0-Day-Lücke PrintNightmare ist laut Microsoft ausreichend abgesichert. Hieran hatten Sicherheitsforscher Zweifel geäußert, doch Microsoft sieht das Problem in unsicheren Konfigurationseinstellungen. Aber auch abseits der Standardeinstellungen bereitet der Patch noch Probleme.

 [ mehr ]

Microsoft hat gestern mit der Veröffentlichung von Sicherheits-Updates, welche eine kritische 0-Day-Lücke im Drucker-Spooler aller Windows-Versionen stopfen, begonnen. Die Sicherheitslücke CVE-2021-1675 bzw. PrintNightmare, welche das Ausführen von Schadcode mit Systemrechten ermöglicht, lässt sich über das Netzwerk ausnutzen, der Angriff ist trivial und auch die erforderlichen Berechtigungen stellen keine hohe Hürde dar.

 [ mehr ]