Microsofts Juni-Patch ist da - auch eine Zero-Day-Lücke geschlossen

Zum Windows Patch-Dienstag im Juni schließt Microsoft wieder mehr als vier Dutzend Schwachstellen, die die Sicherheit von Windows-Nutzern gefährden. Die Updates sollten dem­ent­spre­chend zeitnah eingespielt werden.

Microsofts Juni-Patch gestartet

Dabei wurden von Microsoft jetzt allein 18 Sicherheitslücken bestätigt, die zur Ausführung von Remote-Code aus der Ferne genutzt werden können.

Laut dem Security-Update-Guide und in dem Update-Guide vom Juni 2024 beheben die Updates für Windows 10 und Windows 11 nur eine kritische Schwachstelle, alle anderen Sicherheitslücken wurden mit einem hohem bis mittleren Risiko bewertet. Zudem wird eine zuvor öffentlich bekannt gegebene Zero-Day-Schwachstelle geschlossen.

In den insgesamt 51 Schwachstellen sind dabei:

Infos zur Zero-Day-Lücke

Der Patch behebt eine bereits zum Jahresanfang öffentlich gemeldete Zero-Day-Lücke, wobei Microsoft betont, dass es sich dabei nicht um eine aktiv ausgenutzte Schwachstelle handelt. Es geht um den sogenannten "Keytrap"-Angriff im DNS-Protokoll, den Microsoft nun im Rahmen der Juni-Updates behoben hat ("MITRE: CVE-2023-50868 NSEC3 closest encloser proof can exhaust CPU").

"CVE-2023-50868 betrifft eine Schwachstelle in der DNSSEC-Validierung, bei der ein Angreifer DNSSEC-Standardprotokolle, die für die DNS-Integrität gedacht sind, ausnutzen könnte, indem er übermäßige Ressourcen auf einem Resolver verwendet, was zu einer Dienstverweigerung für legitime Benutzer führt. MITRE hat dieses CVE in ihrem Auftrag erstellt", heißt es dazu beim Microsoft-Support. Diese Schwachstelle wurde bereits im Februar bekannt gegeben und auch schon in zahlreichen DNS-Implementierungen gepatcht, darunter in BIND, PowerDNS, Unbound, Knot Resolver und Dnsmasq.

Anfang Juni wurden darüber hinaus bereits Schwachstellen in Microsoft Edge behobenen. Weitere Informationen zu den veröffentlichten Sicherheitsupdates gibt es in unserem allgemeinen Beitrag zum Patch-Day.


Siehe auch: