[English]ACROS Security hat einen Micropatch für die Schwachstelle CVE-2020-1281 in Windows OLE von Windows 7 und Server 2008 R2 (ohne ESU-Lizenz) veröffentlicht.
Anzeige
Die Sicherheitsanfälligkeit CVE-2020-1281
CVE-2020-1281 ist eine Remote Code Execution (RCE) Schwachstelle, weil Microsoft Windows OLE die Benutzereingaben nicht ordnungsgemäß validiert. Ein Angreifer könnte die Schwachstelle ausnutzen, um bösartigen Code auszuführen. Um die Schwachstelle auszunutzen, müsste ein Angreifer einen Benutzer davon überzeugen, entweder eine speziell gestaltete Datei oder ein Programm von einer Webseite oder einer E-Mail-Nachricht aus zu öffnen.
Microsoft beschreibt die Schwachstelle in diesem Dokument und hat am 9. Juni 2020 Sicherheitsupdates für Windows 7 bis Windows 10 veröffentlicht. Benutzer von Windows 7 SP1 und Windows Server 2008 R2, die nicht über eine ESU-Lizenz verfügen, erhalten jedoch die von Microsoft veröffentlichten Sicherheitsupdates nicht mehr.
0patch-Fix for Windows 7 SP1/Server 2008 R2
ACROS Security hat einen Micropatch für die Schwachstelle CVE-2020-1281 entwickelt. Mitja Kolsek von ACROS Security hat mich privat darüber informiert, dass der Micropatch für Windows 7 SP1 und Windows Server 2008 R2 veröffentlicht wurde. Es gibt jetzt auch eine Nachricht auf Twitter.
Windows 7 and Server 2008 R2 users without Extended Security Updates have just received a micropatch for CVE-2020-1281, an integer overflow vulnerability in Windows OLE marshalling that could allow a remote attacker to execute arbitrary code on user's computer. pic.twitter.com/38I1jN4M9K
— 0patch (@0patch) June 16, 2020
Anzeige
In weiteren Follow-up-Tweets sowie in diesem Blog-Beitrag gibt ACROS Security weitere Erklärungen zu der Schwachstelle und dem Micropatch. Dieser Patch steht für Abonnenten der Pro- und Enterprise-Version zur Verfügung. Hinweise zur Funktionsweise des 0patch-Agenten, der die Mikro-Patches zur Laufzeit einer Anwendung in den Speicher lädt, finden Sie in den Blog-Posts (z.B. hier), die ich unten verlinkt habe.
Ähnliche Artikel:
Windows 7: Februar 2020-Sicherheitsupdates erzwingen – Teil 1
Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
0patch fixt 0-day Adobe Type Library bug in Windows 7
0patch fixt CVE-2020-0687 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1048 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1015 in Windows 7/Server 2008 R2
Anzeige
kann diesen Kommentar nur bestätigen:
https://www.borncity.com/blog/2020/03/05/windows-7-februar-2020-sicherheitsupdates-erzwingen-teil-1/#comment-89417
wenn das alles rel. einwandfrei flutscht, warum dann noch "0patch fixt" nehmen, ist das zusätzlich und sinnvoll oder doppelt, dann unnötig?
Die Entscheidung trifft jeder selbst. Ich stelle die offizielle, legale und funktionerende Lösung von 0patch vor (die auch für Windows Server 2008 R2 tut). Was die Leute da mit ihren inoffiziellen ESU-Umgehungslösungen bewerkstelligen (die zudem auf meinen Systemen nicht wirklich tun) und basteln, ist deren Bier – schlicht und einfach – mehr schreibe ich dazu nicht.
ok.
aber für ein blog, dass sich mit v.a. win-Themen befasst – imho – vlt. etwas dünn? Aber gut.
Das Bier jedenfalls mundet, weil zB. die bypass-Lösungen (mdl-Forum) anscheinend immer besser werden und gut dokumentiert sind/werden. Wat willste als Anwender mehr. Schon einigermaßen klasse.
Auch wenn klar ist, dass dies lediglich ein Zeitausschnitt ist – und sich jederzeit ändern kann. Aber solange Windows-7 noch diese Bedeutung hat, vermutlich eher nicht – wobei das nat. auch Wunschdenken ist…
;-)
Auf der entsprechenden MS page steht der Link zum June monthly update, d.h. der 0patch-fix ist darin schon enthalten. Wer demnach das monatliche Update – mit oder ohne ESU – installiert hat, benötigt das separate Update nicht.