Patch-Day im April: Microsoft stopft 74 Lücken

Die beim Microsoft Patch Day im April bereitgestellten Updates sollen insgesamt 74 Sicherheitslücken schließen. Darunter sind 16 Schwachstellen, die Microsoft als kritisch einstuft. Sie betreffen Windows sowie die Browser Edge und Internet Explorer. Die restlichen 58 Lücken stuft Microsoft als hohes Risiko ein, darunter zwei, die bereits für Angriffe genutzt werden. Details zu allen Lücken bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI oder Cisco Talos das Thema Patch Day auf. Internet Explorer (IE) Das neue kumulative Sicherheits-Update (4493435) für den Internet Explorer 9 bis 11 beseitigt im April fünf Schwachstellen in dem betagten Browser. Eine der Lücken (CVE-2019-0753) ist als kritisch eingestuft. Eine Manipulationslücke (CVE-2019-0764) teilt sich der IE mit Edge. Edge Im Browser Edge hat Microsoft im April neun Lücken gestopft, von denen der Hersteller sieben als kritisch einstuft. Die Scripting Engine „Chakra“ ist auch diesmal in vielen Fällen die Fehlerquelle. Chakra und Edge behandeln Speicherobjekte nicht korrekt und ermöglichen es so einem Angreifer Code einzuschleusen und mit Benutzerrechten auszuführen. Office Für seine Office-Familie liefert Microsoft im April Updates gegen zehn Sicherheitslücken aus. Microsoft stuft alle Office-Lücken als wichtig ein. Sieben der Schwachstellen sind geeignet, um mittels präparierter Dateien beliebigen Code einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen. Ein Schwerpunkt liegt in diesem Monat auf dem Office-Konnektivitätsmodul für Access, in dem Microsoft fünf Lücken gestopft hat. Windows Gut die Hälfte der Schwachstellen verteilt sich über die verschiedenen Windows-Versionen, für die Microsoft noch Sicherheits-Updates anbietet. Als kritisch stuft Microsoft acht dieser 38 Lücken ein. Dazu zählt es eine Schwachstelle in der Grafikschnittstelle GDI+ (CVE-2019-0853) aller Windows-Versionen. Mit einer speziell präparierten EMF-Datei oder einer Web-Seite könnte ein Angreifer beliebigen Code ausführen und die Kontrolle über das System übernehmen. GDI+ wird vor allem durch Windows und Office-Programme genutzt. Gleich fünf gravierende Lücken hat Microsoft im XML-Dienst geschlossen. Weil dessen MSXML-Parser Benutzereingaben falsch verarbeitet, kann ein Angreifer mittels einer präparierten Web-Seite Code einschleusen und ausführen. Nicht als kritisch gilt hingegen die Sicherheitslücke CVE-2019-0856 in allen Windows-Versionen. Verbindet sich ein angemeldeter Benutzer über den Remote Registry-Dienst, kann er beliebigen Code ausführen und die Kontrolle über das System erlangen. Weitere Schwachstellen In der in allen Windows-Versionen enthaltenen Jet-Datenbank-Engine hat Microsoft fünf Sicherheitslücken geschlossen, die geeignet sind, um Code einzuschleusen und auszuführen, jedoch nur als wichtig eingestuft sind. Im Team Foundation Server hat Microsoft acht Spoofing- und XSS-Lücken beseitigt. Zwei weitere Spoofing-Lücken betreffen Exchange Server 2013 bis 2019, eine davon auch Exchange Server 2010. Flash Player Adobes Update für den Flash Player, das Microsoft durchreicht, schließt zwei Sicherheitslücken, von denen eine als kritisch eingestuft ist. Der neue Flash Player hat die Versionsnummer 32.0.0.171. Schließlich gibt es, wie in jedem Monat, auch im April das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 14. Mai 2019.