VARSEL (TLP:CLEAR)

[JustisCERT-varsel] Microsoft, Adobe og Open SSL-sårbarheter for desember 2020

08-12-2020

Microsoft har publisert sine månedlige sikkerhetsoppdateringer for desember 2020. Det er totalt 58, hvor 9 av dem er vurdert som kritisk og 46 er alvorlig. Flere av sårbarhetene kan utnyttes til å fjernkjøre kode og ta kontroll over brukere/systemer. De kritiske sårbarhetene berører Microsoft Exchange Server (2013, 2016 og 2019), Microsoft SharePoint (Foundation og Server/Enterprise), Microsoft Hyper-V (Windows server og klient operativsystem), Microsoft Dynamics 365 for Finance and Operations (on-prem) og Microsoft Edge (EdgeHTML, ikke Edge Chromium).

 

Adobe har publisert sikkerhetsoppdateringer for Adobe Prelude, Experience Manager og Lightroom. Adobe har varslet at de vil komme med viktige oppdateringer til Adobe Acrobat og Adobe Acrobat Reader [3] i løpet av desember.

 

OpenSSL har utgitt oppdateringer som retter en alvorlig sårbarhet (CVE-2020-1971) som berører alle tidligere versjoner av OpenSSL. Vær oppmerksom på at flere løsninger gjør bruk av OpenSSL, f.eks. Nginx, Tomcat, Apache HTTP server, Curl og WinSCP. I de tilfellene der OpenSSL er benyttet som en del av en annen programvarepakke/i en appliance-løsning må gjerne leverandøren av denne utgi en egen oppdatering for å fjerne sårbarheten.

 


Se Microsoft [1], Adobe [2] [3] og OpenSSL [4] sine nettsider for flere detaljer om sårbarhetene.



Berørte produkter er blant annet:

  • Microsoft Windows (klient og server)
  • Edge (EdgeHTML)
  • ChakraCore
  • Microsoft Office
  • Office Services og Web Apps
  • Exchange Server
  • Microsoft SharePoint
  • Microsoft Dynamics
  • Visual Studio
  • Azure DevOps
  • Azure SDK
  • Azure Sphere

 

  • Adobe Prelude
  • Adobe Experience Manager
  • Adobe Lightroom
  • Adobe Acrobat og Adobe Acrobat Reader (patch er ikke utgitt p.t.)

 

  • Open SSL 1.1.1h og eldre
  • Open SSL 1.0.2w og eldre

 


Anbefalinger:

  • Patch berørte Microsoft Exchange Server, Microsoft SharePoint, Microsoft operativsystem med Hyper-V, Microsoft Dynamics 365 for Finance and Operations og EdgeHTML nettlesere
  • Installer oppdatering for Adobe Acrobat og Adobe Acrobat Reader når de blir tilgjengelig
  • Oppdater OpenSSL og løsninger som benytter OpenSSL
  • Patch alle andre berørte systemer
  • Prioriter systemer som kan nås fra internett først
  • Aktiver IPS-signaturer/beskyttelse i brannmurer som kan bidra til å beskytte utstyr som ikke er oppdatert
  • Aktiver IPS-signaturer/beskyttelse i endepunktsprodukter (antivirus/EDR) som kan bidra til å beskytte utstyr som ikke er oppdatert

 

 

Kilder:

[1] https://msrc.microsoft.com/update-guide/en-us

[2] https://helpx.adobe.com/security.html

[3] https://helpx.adobe.com/security/products/acrobat/apsb20-75.html

[4] https://www.openssl.org/news/vulnerabilities.html