[English]Am 13. Dezember 2022 hat Microsoft Sicherheitsupdates für Windows-Clients und -Server, für Office usw. – sowie für weitere Produkte – veröffentlicht. Die Sicherheitsupdates beseitigen 49 Schwachstellen, davon 6 als kritisch eingestuft, und zwei 0-day-Schwachstellen, wobei eine bereits ausgenutzt wird. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.
Anzeige
Hinweise zu den Updates
Windows 10 Version 20H2 bis 22H2 verwenden einen gemeinsamen Kern und besitzen einen identischen Satz von Systemdateien. Daher werden für diese Windows 10 Versionen die gleichen Sicherheitsupdate ausgeliefert. Informationen zur Aktivierung der Features von Windows 10, welches durch ein Enablement Package-Update erfolgt, finden sich diesem Techcommunity-Beitrag.
Alle Windows 10-Updates sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für Windows 10 und alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates Maßnahmen zur Verbesserung der Sicherheit. Microsoft integriert die Servicing Stack Updates (SSUs) in den aktuellen kumulativen Updates (Latest Cumulative Updates, LCUs) für neuere Windows 10-Versionen.
Eine Liste der aktuellen SSUs findet sich unter ADV990001 (wobei die Liste nicht immer aktuell ist). Windows 7 SP1 wird seit Januar 2020 nicht mehr unterstützt. Nur Kunden mit einer ESU-Lizenz für das 3. Jahr (oder Umgehungsmaßnahmen) erhalten noch Updates. Mit dem aktuellen ESU-Bypass lässt das Update installieren. Updates können auch aus dem Microsoft Update Catalog heruntergeladen werden. Die Updates für Windows RT 8.1 und Microsoft Office RT sind nur über Windows Update erhältlich.
Gefixte Schwachstellen
Bei Bleeping Computer gibt es diesen Artikel, nach dem die Sicherheitsupdates 49 Schwachstellen, davon 6 kritisch und zwei 0-day-Schwachstellen beseitigen. Bei Tenable gibt es zudem diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Tenable gibt aber nur 48 Schwachstellen mit CVEs an, wovon sieben als kritisch eingestuft werden, 40 sind als "important" klassifiziert. Weiterhin sollten zwei 0-day-Schwachstellen, eine wird bereits ausgenutzt, eine war vorher bekannt, beseitigt worden sein. Es gibt also Diskrepanzen zwischen Bleeping Computer und Tenable.
- CVE-2022-44698: Windows SmartScreen security feature bypass vulnerability (MoTW), moderate
- CVE-2022-44690 und CVE-2022-44693: RCE vulnerabilities in Microsoft SharePoint Server, CVSSv3 Score 8.8, critical
- CVE-2022-41089: Unauthenticated RCE vulnerability in Microsoft.NET framework with a CVSSv3 Score 8.8, important
- CVE-2022-41076: RCE vulnerability in Windows Powershell, CVSSv3 Score 8.5, critical
- CVE-2022-44678 und CVE-2022-44681: EoP vulnerabilities in Windows Print Spooler, CVSSv3 Score of 7.8, important.
Eine Liste aller abgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind in den verlinkten Artikeln von Tenable und Bleeping Computer abrufbar. Nachfolgend noch die Liste der gepatchten Produkte:
Anzeige
- .NET Framework
- Azure
- Client Server Run-time Subsystem (CSRSS)
- Microsoft Bluetooth Driver
- Microsoft Dynamics
- Microsoft Edge (Chromium-based)
- Microsoft Graphics Component
- Microsoft Office
- Microsoft Office OneNote
- Microsoft Office Outlook
- Microsoft Office SharePoint
- Microsoft Office Visio
- Microsoft Windows Codecs Library
- Role: Windows Hyper-V
- SysInternals
- Windows Certificates
- Windows Contacts
- Windows DirectX
- Windows Error Reporting
- Windows Fax Compose Form
- Windows HTTP Print Provider
- Windows Kernel
- Windows PowerShell
- Windows Print Spooler Components
- Windows Projected File System
- Windows Secure Socket Tunneling Protocol (SSTP)
- Windows SmartScreen
- Windows Subsystem for Linux
- Windows Terminal
Ähnliche Artikel:
Microsoft Office Updates (6. Dezember 2022)
Microsoft Security Update Summary (13. Dezember 2022)
Patchday: Windows 10-Updates (13. Dezember 2022)
Patchday: Windows 11/Server 2022-Updates (13. Dezember 2022)
Windows 7/Server 2008 R2; Windows 8.1/Server 2012 R2: Updates (13. Dezember 2022)
Patchday: Microsoft Office Updates (13. Dezember 2022)
Windows: 0Patch Micropatch für MOTOW-ZIP-File-Bug (0-day, kein CVE)
Windows (Mark of the Web) 0-day per JavaScript für Ransomware-Angriffe genutzt
Anzeige
Zum Thema Taskmanager:
Der Bug mit dem dunklen Taskmanager ist erfreulicherweise behoben.
Nachwievor stören mich folgende Punkte:
* Keine Volltextsuche
* Die Leistungsansicht mit den Einzelgraphen je CPU/GPU Kern ist unübersichtlich
* In der Leistungsansicht sollte man Geräte ausblenden können
Für Mitleser: Taskmanager ist im Beitrag Windows 11 22H2: Anzeigeproblem mit Task-Manager durch Update KB5020044 bestätigt beschrieben.
Server 2012 R2 normale VM – bisher keine Probleme. Normal über Windows Update installiert
Die ersten 20 VMs mit Windows Server 2016 sind durch. Alles okay.
Server 2012 R2 Hyper V läuft auch problemlos.
Server 2019 normale VM startet problemlos. Normal über Windows Update installiert.
jemand schon einen DC geupdatet?
1x 2012 und 2x 2016 – alles okay.
danke für die Info :)
Ja, 2016, alles okay.
Wie sieht es eigentlich mit dem DC-Desaster vom Cumulative Patch November 2022 aus? Auch mit dem zusätzlichen Patch, der Ende November veröffentlich wurde, haben wir das Problem, dass AES in der Domäne nach wie vor nicht funktioniert.
Auch wurde uns nach Installation der Patches der Zugriff auf eine alte NetApp verwehrt, die wir für NDMP-Rücksicherungen nutzen.
Wir haben Hoffnung, dass der Dezember-Patch zumindest das AES-Problem korrigiert, konnte hierzu aber bislang nix finden.
Die aktuellen .NET Updates führen zu Problemen (Programmabsturz)
bei Anwendungen, die das Grafik-Framework Windows Presentation Foundation (kurz WPF) verwenden.
Bei uns sind aktuell zwei Fachanwendungen betroffen.
Microsoft hat diesen Umstand bereits erkannt und stellt einen Workaround bereit, siehe:
https://support.microsoft.com/en-gb/topic/kb5022083-change-in-how-wpf-based-applications-render-xps-documents-a4ae4fa4-bc58-4c37-acdd-5eebc4e34556
Nachtrag bzw. Ergänzung:
Betrifft nur Anwendungen, die Office-Dokumente im XPS-Format rendern.
Leider gabs beim Updaten des DCs Probleme. Nach dem Reboot stürzte der Server einmalig mit Bluescreen ab: System Service Exception, What failed: NTFS.sys
Windows Server 2016
Ich beobachte das Ganze. Bisher einmalig.
I've installed both work arounds but the patch is still preventing our program from working.
Cannot create object of type System.Windows.ResourceDictionary. CreateInstance failed, which can be cause by not having a public default constructor for 'System.Windows.ResourceDictionary'. Error at object 'System.Windows.Documents.FixedPage', Line 4 Position 4.