[English]Am 14. September hat Microsoft Sicherheitsupdates für Windows-Clients und -Server, für Office, usw. – sowie für weitere Produkte – veröffentlicht. Dazu gehören Fixes für PrintNightmare sowie für die MSHTML-Schwachstelle. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.
Anzeige
Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.
Hinweise zu den Updates
Windows 10 Version 2004, 20H2 und 21H1 verwenden einen gemeinsamen Kern und besitzen einen identischen Satz von Systemdateien. Daher werden für diese Windows 10 Versionen die gleichen Sicherheitsupdate ausgeliefert. Informationen zur Aktivierung der Features von Windows 10 Version 1909 sowie 20H2, welches durch ein Enablement Package-Update erfolgt, finden sich diesem Techcommunity-Beitrag.
Alle Windows 10-Updates sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für Windows 10 und alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates Maßnahmen zur Verbesserung der Sicherheit. Microsoft integriert die Servicing Stack Updates (SSUs) in den aktuellen kumulativen Updates (Latest Cumulative Updates, LCUs) für neuere Windows 10-Versionen. Eine Liste der aktuellen SSUs findest sich unter ADV990001 (wobei die Liste nicht immer aktuell ist).
Windows 7 SP1 wird seit Januar 2020 nicht mehr unterstützt. Nur Kunden mit einer ESU-Lizenz für das 2. Jahr (oder Umgehungsmaßnahmen) erhalten noch Updates. Mit dem aktuellen ESU-Bypass lässt das Update installieren. Updates können auch aus dem Microsoft Update Catalog heruntergeladen werden. Die Updates für Windows RT 8.1 und Microsoft Office RT sind nur über Windows Update erhältlich.
Gefixte Schwachstellen
Die Sicherheitsupdates vom September 2021 schließen Sicherheitslücken (60 CVEs, 3 davon kritisch) in Microsoft-Produkten. Eine Liste aller abgedeckten CVEs finden Sie auf dieser Microsoft-Seite. Die Schwachstelle in MSHTML (siehe Desaster Windows MSHTML-Schwachstelle CVE-2021-40444, hoffentlich kommt heute ein Patch) soll gepatcht worden sein. Weiterhin gibt es einen Fix für CVE-2021-26435 (Windows Scripting Engine Memory Corruption Vulnerability), CVE-2021-36965 (Windows WLAN AutoConfig Service Remote Code Execution Vulnerability), CVE-2021-38633, CVE-2021-36963 (Windows Common Log File System Driver Elevation of Privilege Vulnerability) und die wiederkehrend gefixte Schwachstelle CVE-2021-38671 (Windows Print Spooler Elevation of Privilege Vulnerability).
Qualys hat auf dieser Webseite alle gefixten Schwachstellen aufgelistet.
Critical Security Updates
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for x64-based Systems
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
Windows Server, version 20H2 (Server Core Installation)
HEVC Video Extensions
MPEG-2 Video Extension
Azure Open Management Infrastructure
Important Security Updates
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Excel 2013 RT Service Pack 1
Microsoft Excel 2013 Service Pack 1 (32-bit editions)
Microsoft Excel 2013 Service Pack 1 (64-bit editions)
Microsoft Excel 2016 (32-bit edition)
Microsoft Excel 2016 (64-bit edition)
Microsoft Office 2013 RT Service Pack 1
Microsoft Office 2013 Service Pack 1 (32-bit editions)
Microsoft Office 2013 Service Pack 1 (64-bit editions)
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office 2019 for Mac
Microsoft Office Online Server
Microsoft Office Web Apps Server 2013 Service Pack 1
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Foundation 2013 Service Pack 1
Microsoft SharePoint Server 2019
Microsoft Edge (Chromium-based)
Microsoft Edge for Android
Microsoft Visual Studio 2017 version 15.9 (includes 15.0 – 15.8)
Microsoft Visual Studio 2019 version 16.11 (includes 16.0 – 16.10)
Microsoft Visual Studio 2019 version 16.4 (includes 16.0 – 16.3)
Microsoft Visual Studio 2019 version 16.7 (includes 16.0 – 16.6)
Microsoft Visual Studio 2019 version 16.9 (includes 16.0 – 16.8)
Visual Studio Code
Accessibility Insights for Android
Accessibility Insights for Android Service – v2.0.0
Azure Sphere
Microsoft Dynamics 365 Business Central 2020 Release Wave 2 – Update 17.10
Microsoft Dynamics 365 Business Central 2021 Release Wave 1 – Update 18.5
Anzeige
Ähnliche Artikel:
Microsoft Office Patchday (7. September 2021)
Microsoft Security Update Summary (14. September 2021)
Patchday: Windows 10-Updates (14. September 2021)
Patchday: Windows 8.1/Server 2012-Updates (14. September 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (14. September 2021)
Patchday Microsoft Office Updates (14. September 2021)
2015
Das Update für 1809 hat es bei uns noch nicht bis zum WSUS geschafft. Ist das nur bei uns so?
Kann ich nicht bestätigen, bei uns wird das kommulative Update gelistet.
Es wurden gestern mehrere neue schwere Sicherheitslücke in Azure gefunden.
Wenn ein Kunde eine Linux-VM in Azure erstellt, dann wird automatisch und ohne dass der Kunde davon erfährt eine "Open Management Infrastructure (OMI) " in der VM installiert und damit sind dann Remote Code Execution und Rechteausweitung möglich.
Ein Angreifer muss nur den "auth header" entfernen und er hat root-Rechte.
Es gibt auch kein Auto-Update dieser OMI, also muss der Kunde selber das Update durchführen, aber der Kunde weiß ja gar nicht, dass so eine OMI in der VM installiert ist, also bleibt diese Lücke vermutlich oft und lange offen.
OMIGOD
Man könnte es auch durchaus eine Backdoor nennen.
twitter[.]com/GossiTheDog/status/1437896101756030982
twitter[.]com/amiluttwak/status/1437898746747097090
www[.]wiz[.]io[slash]blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution
OMI selbst wurde zwar inzwischen gepatcht, da open source, aber Microsoft benutzt immer noch die alte ungepatchte Version.
…und der versteckte OMSagent richtet User ohne Password ein, also kann sich da jeder anmelden.
twitter[.]com/GossiTheDog/status/1437900818825584640
Backdoor Nr.2, denn so unfähig kann man als Weltkonzern mit Jahrzehnten Erfahrung normalerweise gar nicht sein.
Warum kann man die twitter Links nicht anklicken? Das verkompliziert das Lesen merklich.
Weil Bolko die entsprechend gestaltet hat – und das ist auch gut so. Aus DSGVO-Gründen binde ich keine Tweets direkt ein (ein Plugin mit DSGVO-Hinweis vor der Anzeige funktioniert hier nicht wirklich).
Dass keine direkte Einbindung erfolgt, ist selbstverständlich auch gut so, es ging nur um die Klickbarkeit des Links an sich.
Zwei meiner Server (Test-Opfer) haben nach KB5005568 keine Netzwerkkonnektivität mehr. Bei einem habe ich deinstalliert, geht offenbar wieder. Ist also einigermaßen eindeutig. In den "known issues" habe ich noch nichts passendes gesehen.
Hatten noch andere das Glück?
Danke. Ich glaube, MS hat 1809 nach Windows 10 LTSB geschoben, was bei uns nicht angehakt war.
Eigentlich nennt sich das doch Windows 10 LTSC (zumindest schon ziemlich lange)?
Bei uns wird im SCCM nur "2021-09 Cumulative Update for Windows Server 2019 for x64-based Systems (KB5005568)" aber nicht das Update für Win10-LTSC angeboten? Updates für Win10-LTSB werden auch heruntergeladen. Kann das jemand bestätigen? Gibt es hier eine Lösung?
FYI: Deine drei Kommentare laufen automatisch über den Spam-Filter in die Moderation, habe jetzt zwei Kommentare gelöscht.