Microsoft Patchday Dezember 2023 33 Updates zum Jahres­ab­schluss, vier davon kritisch

Anbieter zum Thema

FAST LTA GmbH

Mimecast Germany GmbH

TXOne Networks

Am letzten Patchday 2023 lässt es Microsoft von der Anzahl her etwas ruhiger angehen. Es gibt 33 neue Updates. Vier Updates sind als kritisch eingestuft, mit CVE-Werten zwischen 8.1 und 9.6. Keine der Lücken sind öffentlich bekannt und es gibt derzeit noch keine öffentlich bekannten Exploits. Dennoch sollten die Updates schnell installiert werden. Neben den Updates für Windows und anderen Produkten, gibt es auch 9 Updates für die Chromium-Engines. Insgesamt hat Microsoft an allen Patchdays in diesem Jahr über 900 Updates veröffentlicht.

Am letzten Patchday des Jahres veröffentlicht Microsoft nicht viele Updates. Allerdings werden vier kritische Lücken in allen Windows-Versionen geschlossen. Keine der Lücken ist aktuell öffentlich bekannt und unter Angriff. Das kann sich aber schnell ändern, denn sie ermöglicht Ransomware-Angriffe auf Netzwerke.

Clients nie mehr manuell patchen!

Updates mit Windows Autopatch automatisieren

CVE-2023-35628 mit CVSS 9.6: Remote Code Execution bei allen Windows-Versionen möglich

Die wichtigste Lücke in diesem Monat betrifft alle aktuellen Windows-Versionen. Die Lücke CVE-2023-35628 ermöglicht die Ausführung von Code über das Netzwerk für alle Windows-Versionen. Betroffen sind auch Windows Server 2022 und Windows 11 Version 23H2 sowie alle anderen Windows-Versionen. Angreifer müssen sich für die Ausführung nicht authentifizieren. Der Angriff erfolgt zunächst über eine Phishing-E-Mail, die gefährlichen Code enthält. Anscheinend führt Outlook den Code aber bereits beim Empfangen aus. es ist sehr wahrscheinlich, dass Cyberkriminelle die Lücke für das Ausführen von Ransomware-Angriffen nutzen werden. Die Installation sollte daher schnell erfolgen.

CVE-2023-36019: Microsoft Power Platform Connector Spoofing Vulnerability

Die als kritisch eingestufte Lücke CVE-2023-36019 hat einen CVSS von 9.6. Damit ist diese Lücke die am höchsten bewertete Schwachstelle am Dezember-Patchday. Das Problem tritt vor allem auf Webservern auf. Klickt aber ein Client auf einen Link, kann ein bösartiges Skript ausgeführt werden.

Microsoft warnt vor massiven Social-Engineering-Angriffen

Hackerangriffe auf Microsoft Teams

CVE-2023-35636: Lücke in allen Office-Versionen und Microsoft 365-Apps

Die Lücke CVE-2023-35636 betrifft alle Office-Versionen, auch die aktuellen Microsoft 365-Apps. Angreifer können über diese Lücke die Anmeldedaten des Benutzers im Netzwerk auslesen und sich danach im Rest des Netzwerks bewegen. Solche Schwachstellen nutzen Angreifer oft aus, um Code in Netzwerke einzuschleusen, zum Beispiel Ransomware.

CVE-2023-35641 und CVE-2023-35630: Internet Connection Sharing (ICS) Remote Code Execution Vulnerability

Die beiden kritischen Lücken CVE-2023-35641 und CVE-2023-35630 spielen oft keine große Rolle, da hierzu ICS zum Einsatz kommen soll. Dennoch sollten die Updates installiert werden, um das Ausnutzen zu verhindern. Wer ICS nutzt, sollte die Updates natürlich sehr schnell installieren. Betroffen sind alle Windows-Versionen.

Mehr Kontrolle über Updates in Windows

Mit 7 kostenlosen Tools Windows-Updates im Griff

Ihre Meinung zu den Patchday-News ist gefragt!

Seit vielen Jahren veröffentlichen wir regelmäßig Meldungen zum Microsoft Patchday. Wir würden gerne von Ihnen wissen, wie wir die Meldungen noch nützlicher für Ihre tägliche Arbeit machen können. Welche Infos wünschen Sie sich zusätzlich, was können wir übersichtlicher machen, was weglassen? Schreiben Sie uns eine E-Mail! Wir lesen jede Zuschrift, versprochen!

Windows aktualisieren und Insider Previews nutzen

So funktioniert die Update-Steuerung in Windows 11

Video-Tipp #50: Windows Update & Powershell

Windows-Updates mit PowerShell steuern

Windows 10 und Windows Server 2016/2019

Windows Updates mit Gruppenrichtlinien steuern

(ID:49835292)