Microsoft Security Update Summary (13. Dezember 2022)

Update[English]Am 13. Dezember 2022 hat Microsoft Sicherheitsupdates für Windows-Clients und -Server, für Office usw. – sowie für weitere Produkte  – veröffentlicht. Die Sicherheitsupdates beseitigen 49 Schwachstellen, davon 6 als kritisch eingestuft, und zwei 0-day-Schwachstellen, wobei eine bereits ausgenutzt wird. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.


Anzeige

Hinweise zu den Updates

Windows 10 Version 20H2 bis 22H2 verwenden einen gemeinsamen Kern und besitzen einen identischen Satz von Systemdateien. Daher werden für diese Windows 10 Versionen die gleichen Sicherheitsupdate ausgeliefert. Informationen zur Aktivierung der Features von Windows 10, welches durch ein Enablement Package-Update erfolgt, finden sich diesem Techcommunity-Beitrag.

Alle Windows 10-Updates sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für Windows 10 und alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates Maßnahmen zur Verbesserung der Sicherheit. Microsoft integriert die Servicing Stack Updates (SSUs) in den aktuellen kumulativen Updates (Latest Cumulative Updates, LCUs) für neuere Windows 10-Versionen.

Eine Liste der aktuellen SSUs findet sich unter ADV990001 (wobei die Liste nicht immer aktuell ist). Windows 7 SP1 wird seit Januar 2020 nicht mehr unterstützt. Nur Kunden mit einer ESU-Lizenz für das 3. Jahr (oder Umgehungsmaßnahmen) erhalten noch Updates. Mit dem aktuellen ESU-Bypass lässt das Update installieren. Updates können auch aus dem Microsoft Update Catalog heruntergeladen werden. Die Updates für Windows RT 8.1 und Microsoft Office RT sind nur über Windows Update erhältlich.

Gefixte Schwachstellen

Bei Bleeping Computer gibt es diesen Artikel, nach dem die Sicherheitsupdates 49 Schwachstellen, davon 6 kritisch und zwei 0-day-Schwachstellen beseitigen. Bei Tenable gibt es zudem diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Tenable gibt aber nur  48 Schwachstellen mit CVEs an, wovon sieben als kritisch eingestuft werden, 40 sind als "important" klassifiziert. Weiterhin sollten zwei 0-day-Schwachstellen, eine wird bereits ausgenutzt, eine war vorher bekannt, beseitigt worden sein. Es gibt also Diskrepanzen zwischen Bleeping Computer und Tenable.

  • CVE-2022-44698: Windows SmartScreen security feature bypass vulnerability (MoTW), moderate
  • CVE-2022-44690 und CVE-2022-44693: RCE vulnerabilities in Microsoft SharePoint Server, CVSSv3 Score 8.8, critical
  • CVE-2022-41089: Unauthenticated RCE vulnerability in Microsoft.NET framework with a CVSSv3 Score 8.8, important
  • CVE-2022-41076: RCE vulnerability in Windows Powershell, CVSSv3 Score 8.5, critical
  • CVE-2022-44678 und CVE-2022-44681: EoP vulnerabilities in Windows Print Spooler, CVSSv3 Score of 7.8, important.

Eine Liste aller abgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind in den verlinkten Artikeln von Tenable und Bleeping Computer abrufbar. Nachfolgend noch die Liste der gepatchten Produkte:

  • .NET Framework
  • Azure
  • Client Server Run-time Subsystem (CSRSS)
  • Microsoft Bluetooth Driver
  • Microsoft Dynamics
  • Microsoft Edge (Chromium-based)
  • Microsoft Graphics Component
  • Microsoft Office
  • Microsoft Office OneNote
  • Microsoft Office Outlook
  • Microsoft Office SharePoint
  • Microsoft Office Visio
  • Microsoft Windows Codecs Library
  • Role: Windows Hyper-V
  • SysInternals
  • Windows Certificates
  • Windows Contacts
  • Windows DirectX
  • Windows Error Reporting
  • Windows Fax Compose Form
  • Windows HTTP Print Provider
  • Windows Kernel
  • Windows PowerShell
  • Windows Print Spooler Components
  • Windows Projected File System
  • Windows Secure Socket Tunneling Protocol (SSTP)
  • Windows SmartScreen
  • Windows Subsystem for Linux
  • Windows Terminal

Ähnliche Artikel:
Microsoft Office Updates (6. Dezember 2022)
Microsoft Security Update Summary (13. Dezember 2022)
Patchday: Windows 10-Updates (13. Dezember 2022)
Patchday: Windows 11/Server 2022-Updates (13. Dezember 2022)
Windows 7/Server 2008 R2; Windows 8.1/Server 2012 R2: Updates (13. Dezember 2022)
Patchday: Microsoft Office Updates (13. Dezember 2022)

Windows: 0Patch Micropatch für MOTOW-ZIP-File-Bug (0-day, kein CVE)
Windows (Mark of the Web) 0-day per JavaScript für Ransomware-Angriffe genutzt


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Update, Windows abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Microsoft Security Update Summary (13. Dezember 2022)

  1. McAlex777 sagt:

    Zum Thema Taskmanager:
    Der Bug mit dem dunklen Taskmanager ist erfreulicherweise behoben.

    Nachwievor stören mich folgende Punkte:
    * Keine Volltextsuche
    * Die Leistungsansicht mit den Einzelgraphen je CPU/GPU Kern ist unübersichtlich
    * In der Leistungsansicht sollte man Geräte ausblenden können

  2. Dominik sagt:

    Server 2012 R2 normale VM – bisher keine Probleme. Normal über Windows Update installiert

  3. cram sagt:

    Die ersten 20 VMs mit Windows Server 2016 sind durch. Alles okay.

  4. Dominik Umbach sagt:

    Server 2012 R2 Hyper V läuft auch problemlos.

  5. Dominik sagt:

    Server 2019 normale VM startet problemlos. Normal über Windows Update installiert.

  6. Dominik sagt:

    jemand schon einen DC geupdatet?

  7. Jaro sagt:

    Wie sieht es eigentlich mit dem DC-Desaster vom Cumulative Patch November 2022 aus? Auch mit dem zusätzlichen Patch, der Ende November veröffentlich wurde, haben wir das Problem, dass AES in der Domäne nach wie vor nicht funktioniert.
    Auch wurde uns nach Installation der Patches der Zugriff auf eine alte NetApp verwehrt, die wir für NDMP-Rücksicherungen nutzen.
    Wir haben Hoffnung, dass der Dezember-Patch zumindest das AES-Problem korrigiert, konnte hierzu aber bislang nix finden.

  8. Bernie sagt:

    Die aktuellen .NET Updates führen zu Problemen (Programmabsturz)
    bei Anwendungen, die das Grafik-Framework Windows Presentation Foundation (kurz WPF) verwenden.
    Bei uns sind aktuell zwei Fachanwendungen betroffen.
    Microsoft hat diesen Umstand bereits erkannt und stellt einen Workaround bereit, siehe:
    https://support.microsoft.com/en-gb/topic/kb5022083-change-in-how-wpf-based-applications-render-xps-documents-a4ae4fa4-bc58-4c37-acdd-5eebc4e34556

  9. Flo sagt:

    Leider gabs beim Updaten des DCs Probleme. Nach dem Reboot stürzte der Server einmalig mit Bluescreen ab: System Service Exception, What failed: NTFS.sys
    Windows Server 2016
    Ich beobachte das Ganze. Bisher einmalig.

  10. Kevin McCarthy sagt:

    I've installed both work arounds but the patch is still preventing our program from working.

    Cannot create object of type System.Windows.ResourceDictionary. CreateInstance failed, which can be cause by not having a public default constructor for 'System.Windows.ResourceDictionary'. Error at object 'System.Windows.Documents.FixedPage', Line 4 Position 4.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.