Hoax-Info Service | Weblog | Archiv

09.07.2024PermaLink
Microsoft schließt zwei 0-Day-Lücken in Windows

Patch Day Juli mit Updates gegen 138 Sicherheitslücken

Beim heutigen Update-Dienstag hat Microsoft Sicherheits-Updates bereitgestellt, die 138 neue Schwachstellen beseitigen sollen. Darunter sind fünf Sicherheitslücken, die Microsoft als kritisch einstuft. Die übrigen Schwachstellen sind bis auf eine als hohes Risiko ausgewiesen. Zwei Windows-Lücken werden bereits für Angriffe ausgenutzt. Zwei weitere Schwachstellen waren bereits vorab öffentlich bekannt. Bereits aktiv unter Beschuss sind Hyper-V (CVE-2024-38080) und die Windows MSHTML-Plattform (CVE-2024-38112). Microsoft macht keine Angaben dazu, wie verbreitet die Angriffe bereits sind. Von den als kritisch eingestuften RCE-Lücken entfallen drei auf den Windows-Lizenzierungsdienst für Remote-Desktops (CVE-2024-38074, -38076, -38077). Vier DoS-Schwachstellen in diesem Dienst weist Microsoft als hohes Risiko aus. Eine weitere als kritisch ausgewiesene RCE-Lücke steckt in der Windows Codecs Library (CVE-2024-38060).

Allein 20 so genannte SFB-Lücken, die als hohes Risiko gelten, entfallen auf die Windows-Funktion Secure Boot. Sie soll eigentlich verhindern, dass nicht durch Microsoft zertifizierte Betriebssysteme (bzw. deren Bootloader) gestartet werden können. In seinen Office-Produkten hat Microsoft in diesem Monat sechs Schwachstellen behoben. Die RCE-Lücke CVE-2024-38023 in Sharepoint Server ist als kritisch ausgewiesen. Drei weitere RCE-Lücken gelten als hohes Risiko.

Adobe hat heute Updates gegen sieben Sicherheitslücken veröffentlicht. Sie betreffen Premiere Pro, InDesign und Bridge.

↗ Microsoft Leitfaden für Sicherheitsupdates / |  ↗ZDI Blog | ↗Adobe Security Bulletins
→Microsoft Download- und Info-Links | →neueste Sicherheits-Updates

09.07.2024PermaLink
Firefox 128: Neue Basis für ESR-Version

Mozilla stopft etliche Lücken und kündigt längere Unterstützung für Windows 7 und 8 an

Mozilla hat heute die neue Firefox-Version 128.0 freigegeben. Darin haben die Entwickler mindestens 16 Sicherheitslücken geschlossen, darunter vier oder mehr, die als hohes Risiko gelten. Außerdem wurde ein Stammzertifikat erneuert (auch in den ESR-Versionen), das bald abgelaufen wäre. Die integrierte, ohne Cloud-Dienst auskommende Übersetzungsfunktion kann nun auch markierten Text per Kontextmenü (rechte Maustaste) übersetzen.
Firefox ESR (Extended Support Release) ist jetzt vorübergehend in zwei Ausgaben erhältlich. Der neue Versionszweig 128esr ist zunächst identisch mit dem regulären Firefox 128.0, erhältlich jedoch keine neuen Funktionen (in Gegensatz zu Firefox 129, 130, ...), sondern nur Sicherheits-Updates. Er löst wie seit Jahren üblich mit einer mehrmonatigen Übergangsphase den bisherigen Versionszweig 115.x ab. Dieser erhält ein Update auf 115.13.0, das mehrere Schwachstellen behebt. Firefox ESR 115.x ist die letzte Ausgabe, die noch unter Windows 7 und 8 läuft und sollte an sich zum Ende dieses Sommers auslaufen. Doch Mozilla hat angedeutet, dass es die alten Windows-Versionen noch länger unterstützen will. Das kann im Grunde nur mit Firefox ESR 115.x geschehen, doch zu den Details hat sich Mozilla noch nicht geäußert.

↗Sicherheitsberichte für Firefox
→neueste Sicherheits-Updates | →Software-Downloads