Mit 111 gestopften Lücken im Mai schließt Microsoft zum dritten Mal in Folge mehr als 100 Sicherheitslücken – im Februar waren es 99. Die 16 als kritisch ausgewiesenen Sicherheitslücken betreffen Windows, den Internet Explorer, Edge (Edge-HTML), Office und Visual Studio Code. Die die übrigen 95 Lücken stuft Microsoft als hohes Risiko ein. Keine der Schwachstellen wird bereits ausgenutzt oder war schon vorab öffentlich bekannt. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI das Thema Patch Day auf. Internet Explorer (IE) Das neue kumulative Sicherheits-Update (4556798) für den Internet Explorer 11 beseitigt sieben Schwachstellen in dem Browser-Oldtimer. Microsoft stuft drei der Lücken als kritisch ein. Seit 11. Februar 2020 liefert Microsoft nur noch Updates für den IE 11. Wer Windows Server 2012 oder Windows Embedded 8 einsetzt, kann ein Update installieren, das den IE 10 auf Version 11 hebt. Edge Im IE-Nachfolger Edge (EdgeHTML-basiert) hat Microsoft im April fünf Sicherheitslücken beseitigt. Drei Lücken stuft Microsoft als kritisch ein. Gemeinsame Lücken mit dem IE gibt es diesmal nicht. Die neue Generation Edge (Chromium-basiert) erhält Sicherheits-Updates außerhalb des Update-Dienstags über die im Browser integrierte Aktualisierungsfunktion. Die neueste Version 81.0.416.72 hat Microsoft bereits am 7. Mai veröffentlicht . Edge (Chromium-basiert) ist damit wieder auf dem gleichen Stand wie Google Chrome. Office In seiner Office-Produktfamilie hat Microsoft in diesem Monat 13 Sicherheitslücken beseitigt. Microsoft stuft vier dieser Schwachstellen als kritisch ein, die wie schon im April alle Sharepoint betreffen. Eine Excel-Schwachstelle (CVE-2020-0901) kann es einem Angreifer ermöglichen, mit Hilfe speziell präparierter Office-Dokumente beliebigen Code einzuschleusen und mit Benutzerrechten auszuführen. Windows Der überwiegende Teil der Schwachstellen, 78 Lücken, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen. Microsoft stuft fünf Windows-Lücken als kritisch ein. Wie schon im Vormonat hat Microsoft drei kritische Schwachstellen (CVE-2020-1028/-1126/-1136) in der Windows Media Foundation gestopft. Zwei betreffen nur neuere Windows-Versionen, also Windows 10 und die zugehörigen Server-Versionen, die letztgenannte Lücke auch alle anderen. Im Farbmanagement von Windows 10 und Server steckt ebenfalls eine als kritisch ausgewiesene Schwachstelle. Die Sicherheitslücke CVE-2020-1135 in der Grafikkomponente von Windows 10 und den zugehörigen Server-Ausgaben ermöglicht es Angreifern, sich höhere Berechtigungen zu verschaffen. Das haben Richard Zhu und Amat Cama beim Hackerwettbewerb Pwn2Own im März demonstriert. Sie benötigten lediglich noch eine präparierte PDF-Datei und eine Use-after-free-Lücke im Acrobat Reader, um ihrem Code Systemrechte zu verschaffen. Microsoft stuft diese Use-after-free-Lücke in Windows als hohes Risiko ein. CVE-2020-1153 ist hingegen als kritisch ausgewiesen und betrifft die gleiche Komponente in allen Windows-Versionen. Sie kann es einem Angreifer ermöglichen, beliebigen Code einzuschleusen und auszuführen. Dazu bedarf es einer speziell präparierten Datei, mutmaßlich einer Bild- oder Videodatei, die ein Benutzer öffnen müsste. Extended Security Updates (ESU) Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 33 Lücken schließen. Darunter sind keine, die nur Windows 7 und/oder Server 2008 R2 beträfen. Die einzige als kritisch eingestufte Schwachstelle ist die gerade erwähnte CVE-2020-1153. Visual Studio Code Gleich zwei Schwachstellen betreffen die Python-Erweiterung von Visual Studio Code. CVE-2020-1192 stuft Microsoft als kritisch ein, CVE-2020-1171 lediglich als hohes Risiko. Doch beide Lücken können es einem Angreifer ermöglichen Code einzuschleusen und auszuführen. Im Mai gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software , das jetzt vierteljährlich erscheint. Der nächste turnusmäßige Patch Day ist am 9. Juni.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.