Patchday September 2021

Ein regnerischer Herbsttag... Zeit für das Patchen von Sicherheitslücken. Der Patchday für September 2021 ist da. Bleiben Sie beim Thema Sicherheitslücken auf dem Laufenden und handeln Sie frühzeitig.

Microsoft

Microsoft veröffentlichte im September Patches für 66 CVEs in Microsoft Windows und Windows-Komponenten, Microsoft Edge (Chromium, iOS und Android), Azure, Office und Office-Komponenten, SharePoint Server, Microsoft Windows DNS und dem Windows Subsystem für Linux. Rechnet man hier die 20 CVEs hinzu, die bereits Anfang des Monats für Microsoft Edge veröffentlicht wurden, entsteht eine Gesamtzahl von 86 CVEs. Von den 66 neu gemeldeten wurden drei als kritisch, 62 als wichtig und eine als mittelschwer eingestuft. Laut der Zero Day Initiative ist das Volumen im September etwas höher im Vergleich zum Durchschnitt der vergangenen Monate aus dem Jahr 2021.

• CVE-2021-40444 - Microsoft MSHTML Remote Code Execution Vulnerability: Dieser Patch behebt einen Fehler, der als aktiver Angriff gelistet und über Office-Dokumente ausgenutzt wird. Ein speziell präpariertes ActiveX-Steuerelement, eingebettet in einem Office-Dokument, wird per Mail versendet. Der Code wird auf der Ebene des angemeldeten Benutzers ausgeführt, wenn das Dokument geöffnet wird. Es ist scheinbar noch nicht bekannt, ob die von Microsoft aufgeführten Abhilfemaßnahmen - Deaktivierung von ActiveX - tatsächlich ausreichend wirksam sind. Es wird geraten, schnellstmöglich den Patch zu installieren und Word-Dokumente als E-Mail Anhänge nur von bekannten Empfängern zu öffnen.

Nähere Informationen über alle CVEs sowie die entsprechenden Downloads stellt Microsoft bereit.

SAP

SAP veröffentlichte im September 17 Sicherheitshinweise sowie zwei Aktualisierungen zu zuvor veröffentlichten. Von den 17 veröffentlichten Sicherheitshinweisen wurden sieben als HotNews bewertet, mit jeweils hohem Score:

• ‍Update to Security Note released on April 2018 Patch Day:
  Security updates for the browser control Google Chromium delivered with SAP Business Client, Product – SAP Business Client, Version – 6.5, HotNews, CVSS 10
• [CVE-2021-37535] Missing Authorization check in SAP NetWeaver Application Server for Java (JMS Connector Service), Product - SAP NetWeaver Application Server Java (JMS Connector Service) , Versions - 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, HotNews, CVSS 10
• Update to Security Note released on August 2021 Patch Day:
  [CVE-2021-33698] Unrestricted File Upload vulnerability in SAP Business One, Product - SAP Business One, Versions - 10.0, HotNews, CVSS 9.9
• [CVE-2021-38176] SQL Injection vulnerability in SAP NZDT Mapping Table Framework, Product - SAP S/4HANA, Versions - 1511, 1610, 1709, 1809, 1909, 2020, 2021, Product - SAP LT Replication Server, Versions - 2.0, 3.0
  Product - SAP LTRS for S/4HANA, Version - 1.0, Product - SAP Test Data Migration Server, Version - 4.0, Product - SAP Landscape Transformation, Version - 2.0, HotNews, CVSS 9.9
• [CVE-2021-38163] Unrestricted File Upload vulnerability in SAP NetWeaver (Visual Composer 7.0 RT), Product - SAP NetWeaver (Visual Composer 7.0 RT) , Versions - 7.30, 7.31, 7.40, 7.50, HotNews, CVSS 9.9
• [CVE-2021-37531] Code Injection vulnerability in SAP NetWeaver Knowledge Management (XMLForms), Product - SAP NetWeaver Knowledge Management XML Forms , Versions - 7.10, 7.11, 7.30, 7.31, 7.40, 7.50, HotNews, CVSS 9.9
• [CVE-2021-33672] Multiple vulnerabilities in SAP Contact Center, 
  Additional CVEs - CVE-2021-33673, CVE-2021-33674, CVE-2021-33675, Product - SAP Contact Center, Version - 700, HotNews, CVSS 9.6

Die Zahlen der Schwachstellen steigen Richtung Herbst wieder etwas an:

Quelle: Security Notes vs Priority Distribution (April– September 2021), SAP

Alle Sicherheitslücken und weitere Informationen stellt SAP im Community Wiki bereit.‍

Adobe

Adobe veröffentlichte im September 15 Patches, welche 59 CVEs in den Programmen Adobe Acrobat Reader, XMP Toolkit SDK, Photoshop, Experience Manager, Genuine Service, Digital Editions, Premiere Elements, Photoshop Elements, Creative Cloud Desktop, ColdFusion, Framemaker, InDesign, SVG-Native-Viewer, InCopy und Premiere Pro beheben.

Für Adobe Acrobat und Reader (APSB21-55) wurden 26 Sicherheitslücken behoben, von denen 13 als kritisch, neun als wichtig und vier als mäßig schwer eingestuft wurden. Eine erfolgreiche Ausnutzung dieser Sicherheitslücken könnte zur Ausführung beliebigen Codes im Kontext des aktuellen Benutzers führen.

Adobe stellt weitere Informationen und Downloads zur Verfügung. Zum Zeitpunkt der Veröffentlichung ist keine Sicherheitslücke öffentlich bekannt oder wird aktiv angegriffen.

‍