Microsoft Sicherheitshinweise und weitere Patches (Juli 2020)

[English]Microsoft hat im Umfeld des 14. Juli 2020 noch einige Sicherheitshinweise (Security Advisories) zu Schwachstellen veröffentlicht und weitere Updates freigegeben. Im Blog-Beitrag möchte ich diese Informationen nachtragen.


Anzeige

IIS-Server Request Smuggling Filter

Microsoft ist sich einer Manipulationsmöglichkeit beim IIS-Server bewusst, über die Sequenzen von HTTP-Anfragen (wie HTTP-Proxys (Front-End) und Webserver (Back-End)) verändert werden können, die aus mehreren Quellen eingehen. Ein Angreifer, der die Schwachstelle erfolgreich ausnutzt, könnte mehrere Anfragen in den Hauptteil einer einzigen Anfrage an einen Webserver zusammenfassen, wodurch er Antworten ändern oder Informationen aus der HTTP-Sitzung eines anderen Benutzers abrufen könnte.

Microsoft empfiehlt Administratoren, die Front-End-Umgebungskonfigurationen zu überprüfen und gegebenenfalls den Request Smuggling Filter von Anfragen zu aktivieren. Es sind Tests erforderlich, um festzustellen, dass Front-End-Loadbalancer und Proxies fehlerhafte Anforderungen nicht weiterleiten; diese Anforderungen werden bei Aktivierung des Filters zurückgewiesen und können die Kommunikation stören. Details lassen sich in ADV200008 nachlesen.

Servicing Stack Update beseitigt Schwachstelle

Ich hatte es bereits in den Artikeln zum Patchday erwähnt: Microsoft hat für diverse Windows-Versionen ein Servicing Stack Update (SSU) herausgebracht. Dieses Update führt Qualitätsverbesserungen am Service-Stack durch, behebt aber auch eine kritischere Schwachstelle im Modul-Installer. Durch das Update wird sichergestellt, dass der Windows Modules Installer Dateioperationen korrekt handhabt. Weitere Informationen finden sich  unter CVE-2020-1346 | Windows Modules Installer Elevation of Privilege Vulnerability. Eine Liste der SSUs für diverse Windows-Versionen lassen sich in ADV990001 nachlesen.

Revisionen von Sicherheitshinweisen

Weiterhin hat Microsoft die Sicherheitshinweise CVE-2020-0762, CVE-2020-0763 und CVE-2020-1469 revidiert.

CVE-2020-0762 | Windows Defender Security Center Elevation of Privilege Vulnerability
– Version: 3.0
– Reason for Revision: In the Security Updates table the following revisions were
made: 1. Added Windows Server 2019 and Windows Server 2019 (Server Core
installation) because they are affected by this vulnerability. 2. Removed all
supported versions of Window 10 Version 1709 because they are not affected by
this vulnerability. 3. Corrected the Article and Download links.
– Originally posted: March 10, 2020
– Updated: July 14, 2020
– Aggregate CVE Severity Rating: Important

CVE-2020-0763 | Windows Defender Security Center Elevation of Privilege Vulnerability
– Version: 3.0
– Reason for Revision: In the Security Updates table the following revisions were
made: 1. Added all supported versions of Window 10 Version 1709 because they are
affected by this vulnerability. 2. Corrected the Article and Download links.
– Originally posted: March 10, 2020
– Updated: July 14, 2020
– Aggregate CVE Severity Rating: Important

CVE-2019-1469 | Win32k Information Disclosure Vulnerability
– Version: 3.0
– Reason for Revision: Added all versions of Windows 10 Version 2004 to the Security
Updates table because it is affected by this vulnerability. Microsoft recommends
that customers running Windows 10 Version 2004 install the latest security updates
to be fully protected from this vulnerability.
– Originally posted: December 10, 2020
– Updated: July 14, 2020
– Aggregate CVE Severity Rating: Important

Weitere Updates zum 14. Juli 2020

Zum Patchday, 14. Juli 2020, hat Microsoft weitere Sicherheitsupdates für Software freigegeben.


Anzeige

Internet Explorer Sicherheitsupdate KB4565479

Für den Internet Explorer 11 hat Microsoft das kumulative Sicherheitsupdate KB4565479 freigegeben. Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Internet Explorer.  Wer unter Windows 7 bis Windows 8.1 oder deren Server Pendants die Security only-Sicherheitsupdates installiert, sollte das IE-Sicherheitsupdate ebenfalls installieren.

.NET Framework Update KB4566517

Microsoft hat ein .NET Framework Update KB4566517 für Windows 7 SP1 und Windows Server 2008 R2 SP1 freigegeben, welches aber Installationsprobleme verursacht. Ich verweise auf die Diskussion hier im Blog sowie den Forenthread bei askwoody.com.

Ähnliche Artikel:
Microsoft Office Patchday (7. Juli 2020)
Microsoft Security Update Summary (14. Juli 2020)
Patchday: Windows 10-Updates (14. Juli 2020)
Patchday: Windows 8.1/Server 2012-Updates (14. Juli 2020)
Patchday: Updates für Windows 7/Server 2008 R2 (14.7.2020)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Antworten zu Microsoft Sicherheitshinweise und weitere Patches (Juli 2020)

  1. Gerold sagt:

    Es gibt auch eine neue Version des .Net Framework Updates KB4565636, nennt sich KB4565636-v2. Damit sollen die Installationsprobleme von ESU-Lizenzinhabern mit KB4565636 gelöst werden.
    Download hier, die neuen Versionen mit Datum 23.07.2020.

    http://www.catalog.update.microsoft.com/Search.aspx?q=4565636

    • fre4kyC0de sagt:

      Genauer gesagt, wurden die .NET 4.x-Anteile der 05-2020 und 07-2020 Updates aktualisert. Betroffen sind:
      – KB4556406 (w60 2020-05 SecOnly)
      – KB4566469 (w60 2020-07 SecOnly)
      – KB4566520 (w60 2020-07 Rollup)
      – KB4556403 (w61 2020-05 SecOnly)
      – KB4566466 (w61 2020-07 SecOnly)
      – KB4566517 (w61 2020-07 Rollup)

      Viele Grüße

      • Bolko sagt:

        Liste mit allen security-only Updates für net Framework 4.8:

        1. KB4495627 vom 09.05.2019

        2. KB4506956 vom 09.07.2019

        3. KB4532952 vom 09.01.2020

        4. KB4552953-v2 vom 23.07.2020 (Ersatz für v1 vom 08.05.2020)

        5. KB4565589-v2 vom 23.07.2020 (Ersatz für v1 vom 10.07.2020)

        Habe ich ein security-only-Update vergessen?

  2. Trillian sagt:

    Moin @ All!

    Das zum .NET Framework Update KB4566517 korrespondierende 2020-07 Security Only Update für .NET Framework findet man im Microsoft Update-Katalog unter KB4566466.

  3. Scyllo sagt:

    Könnte bitte jemand den Unterschied zwischen dem KB4565636 und dem KB4566517 nennen?

    "RedOne" wurde darauf in diesem Thread (https://www.borncity.com/blog/2020/07/15/patchday-updates-fr-windows-7-server-2008-r2-14-7-2020/) nicht so wirklich geantwortet.

    • Bolko sagt:

      aktuelle net Framework-Version:
      4.8.4190.9

      KB4565636 ist nur für net 4.8 (das Rollup), aber nicht für v3.5 und auch nicht für 4.6 und nicht für 4.7.

      KB4566517 ist für alle Versionen von 3.5 bis 4.8 (ebenfalls Rollup).
      KB4566517 wurde ebenfalls am 23.07.2020 neu veröffentlicht (v2).

      Aus dem KB4566517 brauchst du für net 3.5:
      windows6.1-kb4565612-v2-x64.msu
      (das hat sich aber gegenüber dem Release vom Patchday nicht verändert)

      Aus dem KB4566517 brauchst du für net 4.8:
      ndp48-kb4565636-v2-x64.exe
      (das hat sich gegenüber dem Release vom Patchday verändert)

      Installation funktioniert mit BypassESU-v7 (Option 7). Anschließend per Option 6 wieder abschalten, um Fehler mit dem MSI-Installer zu verhindern.

      Auch die Erzeugung eines SLIM-Installers mittels dotNetFx4xW7-master.zip (von abbodi) und "WiX Toolset binaries" funktioniert.

      • Scyllo sagt:

        Vielen Dank für die Hilfe!

        Aber wieso erhält die windows6.1-kb4565612-v2-x64.msu den Zusatz "v2", wenn sich gegenüber dem Release vom Patchday nichts verändert hat?

        Ist es jetzt nachteilig, wenn ich anstatt der beiden Einzel-Dateien einfach die neue Version des KB4566517 vom 23.07.2020 installiere?

        Und müsste dafür die KB4566517 vom 10.07.2020 zuvor deinstalliert werden?

        Und noch eine Frage:

        Weswegen wird die aktualisierte Version vom 23.07.2020 nicht per Windows Update angeboten, sondern nur über den Windows Update Katalog?

        • RedOne sagt:

          das Update für Microsoft .NET Framework deckt jeweils verschiedene Versionen ab:

          m.E. kann niemand KB4566517 installieren, es ist nur die Tür durch die man muss um dann das dem eigenen System entsprechende Update
          für 2020-07 Sicherheits- u. Qualitätsrollup .NET Framework 3.5.1 bis 4.8 zu installieren,
          als da z.B. sind:

          KB4565612 für Microsoft .NET Framework 3.5.1
          KB4565583 für Microsoft .NET Framework 4.5.2
          KB4565623 für Microsoft .NET Framework 4.6 – 4.7.2
          KB4565636 für Microsoft .NET Framework 4.8

          Da bei den .NET Framework-Updates vom 10.07.2020 für Windows 7-Pro mit ESU-Lizenz etwas nicht stimmte, gibt es jeweils eine Version 2 vom 23.07.2020.

          Da die Installation des Updates nun funktioniert, findet Windows Update jetzt wohl von selbst die jeweilige V2.

          Bei mir wurde
          KB4565612 für Microsoft .NET Framework 3.5.1 installiert, obwohl ich bereits Microsoft .NET Framework 4.8 installiert habe.
          Da muss wohl irgendwie noch eine ältere .NET Framework-Version vorhanden sein?

          Das war im Mai auch schon so, aber ohne Installationsprobleme.

        • Bolko sagt:

          1.
          "Aber wieso erhält die windows6.1-kb4565612-v2-x64.msu den Zusatz "v2", wenn sich gegenüber dem Release vom Patchday nichts verändert hat?"

          Die "ndp4"-Dateien (für net Framework 4.5, 4.7 und 4.8) innerhalb des KB4566517 wurden auf Version 2 erhöht.
          Das KB4565612 (für net Framework 3.5) hatte bereits vorher schon diese höhere Versionsnummer 2.

          2.
          "Ist es jetzt nachteilig, wenn ich anstatt der beiden Einzel-Dateien einfach die neue Version des KB4566517 vom 23.07.2020 installiere?"

          Nein bzw das widerspricht sich mit deiner Frage 4:
          "Weswegen wird die aktualisierte Version vom 23.07.2020 nicht per Windows Update angeboten, sondern nur über den Windows Update Katalog?"

          Wenn du es nicht über Win-Update bekommst, dann siehst du es im Update-Katalog als 10 einzelne Dateien, von denen du windows6.1-kb4565612-v2 (für net Framework 3.5) bereits vorher schon gehabt haben solltest (Patchday 14.7. bzw Version vom 10.7, keine Änderung zur Version vom 23.7.).
          Die musst du dann nicht nochmal drüber installieren, wenn du das bereits am Patchday schon gemacht hast.

          Du musst dann nur die neue ndp48-kb4565636-v2 (für net Framework 4.8) installieren.

          Im Win-Update erscheinen grundsätzlich keine security-only, sondern nur Rollups.
          Rollups erscheinen auch nur bestenfalls dann, wenn in BypassESu die Option [3] installiert wurde ("install WU ESU Patcher"), was ich aber nicht empfehle, da man es besser manuell über den Katalog macht.

          Das net Framework Rollup erscheint aber bei der Pro Version selbst dann nicht, siehe Erklärung von MS:
          "Professional. Wenn Sie Extended Security Update (ESU) erworben haben, wird die Benachrichtigung nicht angezeigt. Weitere Informationen finden Sie unter
          How to get Extended Security Updates for eligible Windows devices"
          https://support.microsoft.com/de-de/help/4566517/kb4566517

          Also am besten immer grundsätzlich nur über den Update-Katalog die Updates manuell holen und manuell installieren.

          3.
          "Und müsste dafür die KB4566517 vom 10.07.2020 zuvor deinstalliert werden?"

          Nein.
          Ältere Versionen werden immer überschrieben.
          Die ältere Version gilt dann als "superseded", also ersetzt und überflüssig.

          • Scyllo sagt:

            Nochmals vielen Dank für Deine Hilfe!

            Allerdings ist bei mir (Win 7 Home Premium 64 Bit) nun folgendes passiert:

            Ich hatte am 16.07.2020 das KB4566517 erfolgreich über Windows Update (BypassESU v7) installiert.

            Die Version meiner .NET Framework 4.8 lautete danach 4.8.3761.0 (die von .NET Framework 3.5.1 war v3.5.30729.5420).

            Heute Nacht habe ich dann über den Microsoft Update Katalog diese beiden Dateien (mit Datum vom 23.07.2020) geladen:

            1. ndp48-kb4565636-v2-x64_9849ed96b48e54161dc099df90ca2f5ebdb687fc.exe

            2. windows6.1-kb4565612-v2-x64_0b0093d044fe0b7bd96f45a9653be0375c7b7e97.msu (diese nur zum Testen)

            Ich habe dann bei beiden Dateien eine Installation als Administrator aus dem Administratorkonto heraus versucht.

            Bei der Datei 1 war der Button "Installieren" jedoch ausgegraut – eine Installation somit NICHT möglich!

            Bei der Datei 2 erschien die Meldung, dass das KB4565612 schon installiert sei (was ja irgendwie zu erwarten war).

            Also habe ich unter "Systemsteuerung" -> "Programme deinstallieren" -> "Installierte Updates anzeigen" KB4565636 sowie KB4565612 manuell deinstalliert und danach das System neu gestartet.

            Nach dem Neustart meldete sich Windows Update mit dem neuen KB4566517 vom 23.07.2020 (war auch zu erwarten).

            Dieses installierte ich mit BypassESU-v7 (Option 7) wiederum erfolgreich.

            Nach einem Neustart prüfte ich wieder die .NET-Versionen.

            Unter 4.8 steht aber immer noch Version 4.8.3761.0 und nicht, wie von Dir oben angegeben 4.8.4190.9.

            ???

            Schaue ich nun unter "Installierte Updates anzeigen", so lese ich:

            "Update für Microsoft .NET Framework 4.8 KB4565636v2 – Installiert am 29.07.2020"

            Was ist da also schiefgegangen und weswegen wird die Version nicht auf 4.8.4190.9 erhöht, denn die v2 wurde ja offensichtlich installiert?

            Davon ab:

            Unter "Installierte Updates" haben nun ALLE vergangenen .NET Framework 4.8 Updates das Installationsdatum 29.07.2020.

            Wie doof ist das denn von Microsoft geregelt? So weiß man ja gar nicht mehr, wann man welches Update installiert hatte (was oftmals erleichternd ist, wenn man etwas sucht oder überprüfen möchte).

          • Bolko sagt:

            Zu den Versionsnummern:

            Rechtsklick auf
            ndp48-kb4565636-v2-x64.exe
            Reiter Details zeigt 4.8.4190.9

            Die daraus ausgepackten neuen Dateien haben die Versionsnummer:
            4.8.4190.0

            Die Systemsteuerung allerdings zeigt trotzdem 4.8.03761 an

            Da ist Microsoft also nicht eindeutig.

            2.
            Ausgegraut war bei mir nichts, bei ndp48-kb4565636-v2
            Das Drüberinstallieren funktionierte ganz normal.

            3.
            "Unter "Installierte Updates" haben nun ALLE vergangenen .NET Framework 4.8 Updates das Installationsdatum 29.07.2020."

            Bei mir stimmt das jeweils angezeigte (unterschiedliche) Datum mit dem richtigen Installationsdatum überein, also anders als bei dir.

  4. RedOne sagt:

    Vielen Dank an Scyllo für den Denkanstoss zu .NET Framework 3.5.1 bis 4.8

    Ich habe jetzt auf meinem PC mit Windows 7 64bit und ESU-Lizenz
    das
    KB4566517 2020-07 Sicherheits- u. Qualitätsrollup .NET Framework 3.5.1 bis 4.8
    gemäss WU Updateverlauf erfolgreich installiert (mit aktiver Fremd-AV).

    Laut Ereignisanzeige wurde aber ein KB4565612 als installiert bestätigt.

    Das in der Ereignisanzeige eine andere KB-Nummer als installiert angezeigt wird als im WU Updateverlauf, ist mir aber schon häufiger aufgefallen.

    Windows ist halt eine Wundertüte, aber es hat endlich geklappt und anscheinend ist alles ok.

    • Tom sagt:

      Ich bekomme KB4565612(bzw. KB4565623-v2 für .NET 4.72) einfach nicht zum installieren!

      Install .NET 4 ESU Bypass schlägt immer mit "Windows-Installer" fehl – egal ob mit oder ohne Systemneustart nach Aktivierung.

      Windows-Update produziert neuerdings Fehler 641(vorher war Fehler 643).

      Ich habe Install .NET 4 ESU Bypass nun wieder deaktiviert und werde warten…

      p.s.: Danke trotzdem an alle Helfenden hier!

      • RedOne sagt:

        Ich vermute mal Microsoft hat bei Windows 7-Pro mit ESU-Lizenz ein Problem, weil Bolko richtig liegt:

        Microsoft-Support schreibt:

        KB4565612 Applies to:
        Microsoft .NET Framework 3.5.1

        KB4565636 Applies to:
        Microsoft .NET Framework 4.8

        Bei mir wurde im Windows Update KB4566517 für 2020-07 .NET 3.5.1 bis 4.8 als wichtig angezeigt und automatisch ausgewählt.

        Installiert wurde aber nach dem 23.07.2020 KB4565612 welches laut Support für Microsoft .NET Framework 3.5.1 gedacht ist.
        Ich habe aber bereits Microsoft .NET Framework 4.8 auf dem System.

        Das dies 100% richtig ist, kann ich mir eigentlich nicht vorstellen.
        aber laut Zuverlässigkeitsüberwachung wurde 4.8 installiert.

        • Bolko sagt:

          net Framework 3.5 ist bei Windows 7 dabei und bleibt auch aktiv, wenn net Framework 4.x drüber installiert wird.

          Die installierten Versionen kann man mit ".net Version Detector 19 R1b" anzeigen lassen.

          Dieses Tool zeigt für net Framework 3.x und 4.x zwei verschiedene Kästen an, um zu verdeutlichen, dass die unabhängig nebeneinander installiert sein können bzw das auch sind (genauso ist auch v1 unabhängig von v3.x und v4.x und kann ebenfalls gleichzeitig parallel laufen).

          Man braucht also beide Updates.
          windows6.1-kb4565612-v2
          ndp48-kb4565636-v2

          net Framework 3.5 verschwindet nur dann, wenn man über die Systemsteuerung, "Programme deinstallieren", "Windows-Funktionen aktivieren oder deaktivieren", den Haken bei "Microsoft .NET Framework 3.5.1" entfernt (was man aber nicht machen sollte, da die meisten Usere noch Programme haben, die diese ältere Version brauchen.).

  5. RedOne sagt:

    Persönliches Fazit der .NET Installation auf PC's mit Windows 7-Pro 64bit mit ESU-Lizenz

    Ausgelöst durch Installationsprobleme des Updates
    für 2020-07 Sicherheits- u. Qualitätsrollup .NET Framework 3.5.1 bis 4.8
    habe ich auf meinen PC's folgende Erfahrung gemacht:

    das Update KB4566517
    für 2020-07 Sicherheits- u. Qualitätsrollup .NET Framework 3.5.1 bis 4.8
    installiert aus Windows Update
    KB4565612 für Microsoft .NET Framework 3.5.1
    und in meinem Fall
    KB4565636 für Microsoft .NET Framework 4.8
    in einem Durchgang.

    Man findet dafür die Updateverlaufsinfo

    1)
    in Windows Update > -Updateverlauf anzeigen-
    für KB4566517
    in Windows Updateverlauf > -installierte Updates-
    unter Microsoft .NET Framework 4.8
    für KB4565636v2
    unter Microsoft Windows
    für KB4565612

    2)
    in der Zuverlässigkeitsanzeige
    die Updateinfo für KB4565517 und KB4565636

    3)
    in der Ereignisanzeige
    unter Windows-Protokolle > -Installation-
    die Updateinfo für KB4565612

    Wenn man also bei Windows 7-Pro 64bit mit ESU-Lizenz
    dafür sorgt das in Windows Update das Update für .NET auftaucht
    kann man es in einem Rutsch vollständig installieren.
    Es braucht kein weiteres Update aus dem Windows Update Catalog.

    Ich bedanke mich bei allen hier die zur Problem-Klärung beigetragen haben.

Schreibe einen Kommentar zu Tom Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.