Ein Beitrag von
Wie startet man am Besten in das neue Jahr?
Richtig - mit dem ersten Patch-Tuesday des Jahres!
Was ist der Patch Tuesday?
Der Begriff bezeichnet den zweiten Dienstag im Monat, an dem Microsoft wichtige Patches für seine Systeme veröffentlicht. Durch den festen Rhythmus wird die Arbeit von Systemadministratoren und Nutzern erleichtert, da somit ein klarer Planungszeitpunkt zum Einspielen von Updates gegeben ist.
Der Patch Tuesday bringt im Januar 2025 unter anderem wichtige Sicherheitsupdates von Microsoft und schließt damit mehrere Sicherheitslücken.
Zum Start des Jahres sind einige Sicherheitslücken bekannt. Ein Augenmerk sollte man auf die CVE-2025-21298 legen, dort wird die Ausnutzung der OLE Technologie (Object Linking and Embedding) beschrieben. Angreifer können diese Lücke durch speziell designte E-Mails ausnutzen. Sollte ein Opfer solch eine E-Mail öffnen oder Outlook diese Mail in der Vorschau anzeigen, kann der Angreifende Remote-Code auf dem System ausführen und somit Zugang zum System bekommen. Abhilfe schafft hier das Einspielen der Updates sowie als Erstmaßnahme E-Mails im “Nur-Text-Format” zu lesen.
Patches wurden für Windows 10 und Windows 11 herausgebracht, sowie für die gängigen Server-Typen, siehe hier und hier.
SAP hat im Januar unter anderem zwei kritische Updates veröffentlicht. Beide betreffen SAP NetWeaver ABAP Server and ABAP Platform. Die erste Schwachstelle CVE-2025-0070 erlaubt unautorisierten Zugang zu den Systemen, die zweite Schwachstelle CVE-2025-0066 erlaubt es Angreifern, restriktierte Informationen zu betrachten. Mehr Information über diese und weitere Schwachstellen sind hier zu finden.
Weitere Hersteller, die Sicherheitsupdates herausgebracht haben, sind nachfolgend aufgelistet:
Adobe: Sicherheitsupdates für Photoshop, Substance3D Stager und Designer, Adobe Illustrator für iPad und Adobe Animate.
Cisco: Sicherheitsupdates für mehrere Produkte, darunter Cisco ThousandEyes Endpoint Agent und Cisco Crosswork Network Controller.
Ivanti: Sicherheitsupdates für eine Connect-Secure-Schwachstelle, die bei Angriffen ausgenutzt wird, um benutzerdefinierte Malware auf Geräten zu installieren.
Fortinet: Sicherheitsupdate für eine Zero-Day-Schwachstelle zur Umgehung der Authentifizierung in FortiOS und FortiProxy, die seit November in Angriffen ausgenutzt wurde. Zusätzlich wurden weitere Sicherheitsupdates veröffentlicht.
Zyxel: Sicherheitsupdates, um eine Schwachstelle in der Web-Verwaltungsschnittstelle zu beheben, die die Verwaltung von Privilegien beeinträchtigt.
War dieser Beitrag hilfreich?
Dein Job bei codecentric?
Jobs
Agile Developer und Consultant (w/d/m)
Alle Standorte
Weitere Artikel in diesem Themenbereich
Entdecke spannende weiterführende Themen und lass dich von der codecentric Welt inspirieren.
5.9.2024 Gemeinsam bessere Projekte umsetzen.
Wir helfen deinem Unternehmen.
Du stehst vor einer großen IT-Herausforderung? Wir sorgen für eine maßgeschneiderte Unterstützung. Informiere dich jetzt.
Hilf uns, noch besser zu werden.
Wir sind immer auf der Suche nach neuen Talenten. Auch für dich ist die passende Stelle dabei.
Blog-Autor*in
Sarah Obst
IT Security Consultant
Du hast noch Fragen zu diesem Thema? Dann sprich mich einfach an.
Du hast noch Fragen zu diesem Thema? Dann sprich mich einfach an.