Microsoft Patchday Dezember 2023 33 Updates zum Jahresabschluss, vier davon kritisch
Anbieter zum Thema
Am letzten Patchday 2023 lässt es Microsoft von der Anzahl her etwas ruhiger angehen. Es gibt 33 neue Updates. Vier Updates sind als kritisch eingestuft, mit CVE-Werten zwischen 8.1 und 9.6. Keine der Lücken sind öffentlich bekannt und es gibt derzeit noch keine öffentlich bekannten Exploits. Dennoch sollten die Updates schnell installiert werden. Neben den Updates für Windows und anderen Produkten, gibt es auch 9 Updates für die Chromium-Engines. Insgesamt hat Microsoft an allen Patchdays in diesem Jahr über 900 Updates veröffentlicht.
Am letzten Patchday des Jahres veröffentlicht Microsoft nicht viele Updates. Allerdings werden vier kritische Lücken in allen Windows-Versionen geschlossen. Keine der Lücken ist aktuell öffentlich bekannt und unter Angriff. Das kann sich aber schnell ändern, denn sie ermöglicht Ransomware-Angriffe auf Netzwerke.
Clients nie mehr manuell patchen!
Updates mit Windows Autopatch automatisieren
CVE-2023-35628 mit CVSS 9.6: Remote Code Execution bei allen Windows-Versionen möglich
Die wichtigste Lücke in diesem Monat betrifft alle aktuellen Windows-Versionen. Die Lücke CVE-2023-35628 ermöglicht die Ausführung von Code über das Netzwerk für alle Windows-Versionen. Betroffen sind auch Windows Server 2022 und Windows 11 Version 23H2 sowie alle anderen Windows-Versionen. Angreifer müssen sich für die Ausführung nicht authentifizieren. Der Angriff erfolgt zunächst über eine Phishing-E-Mail, die gefährlichen Code enthält. Anscheinend führt Outlook den Code aber bereits beim Empfangen aus. es ist sehr wahrscheinlich, dass Cyberkriminelle die Lücke für das Ausführen von Ransomware-Angriffen nutzen werden. Die Installation sollte daher schnell erfolgen.
CVE-2023-36019: Microsoft Power Platform Connector Spoofing Vulnerability
Die als kritisch eingestufte Lücke CVE-2023-36019 hat einen CVSS von 9.6. Damit ist diese Lücke die am höchsten bewertete Schwachstelle am Dezember-Patchday. Das Problem tritt vor allem auf Webservern auf. Klickt aber ein Client auf einen Link, kann ein bösartiges Skript ausgeführt werden.
Microsoft warnt vor massiven Social-Engineering-Angriffen
Hackerangriffe auf Microsoft Teams
CVE-2023-35636: Lücke in allen Office-Versionen und Microsoft 365-Apps
Die Lücke CVE-2023-35636 betrifft alle Office-Versionen, auch die aktuellen Microsoft 365-Apps. Angreifer können über diese Lücke die Anmeldedaten des Benutzers im Netzwerk auslesen und sich danach im Rest des Netzwerks bewegen. Solche Schwachstellen nutzen Angreifer oft aus, um Code in Netzwerke einzuschleusen, zum Beispiel Ransomware.
CVE-2023-35641 und CVE-2023-35630: Internet Connection Sharing (ICS) Remote Code Execution Vulnerability
Die beiden kritischen Lücken CVE-2023-35641 und CVE-2023-35630 spielen oft keine große Rolle, da hierzu ICS zum Einsatz kommen soll. Dennoch sollten die Updates installiert werden, um das Ausnutzen zu verhindern. Wer ICS nutzt, sollte die Updates natürlich sehr schnell installieren. Betroffen sind alle Windows-Versionen.
Mehr Kontrolle über Updates in Windows
Mit 7 kostenlosen Tools Windows-Updates im Griff
Ihre Meinung zu den Patchday-News ist gefragt!
Seit vielen Jahren veröffentlichen wir regelmäßig Meldungen zum Microsoft Patchday. Wir würden gerne von Ihnen wissen, wie wir die Meldungen noch nützlicher für Ihre tägliche Arbeit machen können. Welche Infos wünschen Sie sich zusätzlich, was können wir übersichtlicher machen, was weglassen? Schreiben Sie uns eine E-Mail! Wir lesen jede Zuschrift, versprochen!
Windows aktualisieren und Insider Previews nutzen
So funktioniert die Update-Steuerung in Windows 11
Video-Tipp #50: Windows Update & Powershell
Windows-Updates mit PowerShell steuern
Windows 10 und Windows Server 2016/2019
Windows Updates mit Gruppenrichtlinien steuern
(ID:49835292)