Beim Update-Dienstag im April hat Microsoft 74 Schwachstellen behoben. Kritische Lücken stecken in Windows, Edge und IE. Hinzu kommen zwei 0-Day-Lücken im Windows-Kernel.

Die beim Microsoft Patch Day im April bereitgestellten Updates sollen insgesamt 74 Sicherheitslücken schließen. Darunter sind 16 Schwachstellen, die Microsoft als kritisch einstuft. Sie betreffen Windows sowie die Browser Edge und Internet Explorer. Die restlichen 58 Lücken stuft Microsoft als hohes Risiko ein, darunter zwei, die bereits für Angriffe genutzt werden. Details zu allen Lücken bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI oder Cisco Talos das Thema Patch Day auf.

Internet Explorer (IE)
Das neue kumulative Sicherheits-Update (4493435) für den Internet Explorer 9 bis 11 beseitigt im April fünf Schwachstellen in dem betagten Browser. Eine der Lücken (CVE-2019-0753) ist als kritisch eingestuft. Eine Manipulationslücke (CVE-2019-0764) teilt sich der IE mit Edge.

Edge
Im Browser Edge hat Microsoft im April neun Lücken gestopft, von denen der Hersteller sieben als kritisch einstuft. Die Scripting Engine „Chakra“ ist auch diesmal in vielen Fällen die Fehlerquelle. Chakra und Edge behandeln Speicherobjekte nicht korrekt und ermöglichen es so einem Angreifer Code einzuschleusen und mit Benutzerrechten auszuführen.

Office
Für seine Office-Familie liefert Microsoft im April Updates gegen zehn Sicherheitslücken aus. Microsoft stuft alle Office-Lücken als wichtig ein. Sieben der Schwachstellen sind geeignet, um mittels präparierter Dateien beliebigen Code einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen. Ein Schwerpunkt liegt in diesem Monat auf dem Office-Konnektivitätsmodul für Access, in dem Microsoft fünf Lücken gestopft hat.

Windows
Gut die Hälfte der Schwachstellen verteilt sich über die verschiedenen Windows-Versionen, für die Microsoft noch Sicherheits-Updates anbietet. Als kritisch stuft Microsoft acht dieser 38 Lücken ein. Dazu zählt es eine Schwachstelle in der Grafikschnittstelle GDI+ (CVE-2019-0853) aller Windows-Versionen. Mit einer speziell präparierten EMF-Datei oder einer Web-Seite könnte ein Angreifer beliebigen Code ausführen und die Kontrolle über das System übernehmen. GDI+ wird vor allem durch Windows und Office-Programme genutzt.

Gleich fünf gravierende Lücken hat Microsoft im XML-Dienst geschlossen. Weil dessen MSXML-Parser Benutzereingaben falsch verarbeitet, kann ein Angreifer mittels einer präparierten Web-Seite Code einschleusen und ausführen. Nicht als kritisch gilt hingegen die Sicherheitslücke CVE-2019-0856 in allen Windows-Versionen. Verbindet sich ein angemeldeter Benutzer über den Remote Registry-Dienst, kann er beliebigen Code ausführen und die Kontrolle über das System erlangen.

Weitere Schwachstellen
In der in allen Windows-Versionen enthaltenen Jet-Datenbank-Engine hat Microsoft fünf Sicherheitslücken geschlossen, die geeignet sind, um Code einzuschleusen und auszuführen, jedoch nur als wichtig eingestuft sind. Im Team Foundation Server hat Microsoft acht Spoofing- und XSS-Lücken beseitigt. Zwei weitere Spoofing-Lücken betreffen Exchange Server 2013 bis 2019, eine davon auch Exchange Server 2010.

Flash Player
Adobes Update für den Flash Player, das Microsoft durchreicht, schließt zwei Sicherheitslücken, von denen eine als kritisch eingestuft ist. Der neue Flash Player hat die Versionsnummer 32.0.0.171.

Schließlich gibt es, wie in jedem Monat, auch im April das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 14. Mai 2019.

Quelle: Patch-Day im April: Microsoft stopft 74 Lücken - PC-WELT

Nach Microsoft-Patchday: KB4493472, KB4493446 und weitere Updates legen Windows lahm

Mehrere zum Patchday verteilte Updates machen Probleme unter Windows 7 SP 1, Windows Server 2008 R2 Service Pack 1, Windows 8.1 und Windows Server 2012 R2.

Die am vergangenen Patchday veröffentlichten kumulativen Windows-Security-Updates KB4493472 (für Windows 7 SP 1 und Windows Server 2008 R2 Service Pack 1) und KB4493446 (Monthly Rollup; Windows 8.1, Windows Server 2012 R2) verursachen auf zahlreichen Systemen schwerwiegende Probleme.
Gegenüber heise online berichteten Leser, dass nach dem Rollout von KB4493472 keine Netzwerkverbindung und Domännenanmeldung mehr möglich gewesen sei.

Komplikationen mit Sophos Endpoint Protection
Wie Microsofts Beschreibungen sowohl zu KB4493472 als auch zu KB4493446 zu entnehmen ist, können Probleme vor allem auch dann auftreten, wenn auf den betreffenden Systemen Sophos Endpoint Protection – verwaltet über Sophos Central Endpoint oder Sophos Enterprise Console (SEC) – installiert ist. In dieser Konstellation kann es zum Einfrieren von Systemen oder – direkt im Anschluss an die Installation – zu Systemabstürzen nach dem Reboot kommen. Leserzuschriften und Diskussionen in diversen Foren bestätigen diese Symptome vor allem im Hinblick auf KB4493472.
Sophos beschreibt in einem Blogeintrag überdies, dass auch KB4493467, KB4493448, KB4493450 und KB4493451 in Verbindung mit Sophos Central Endpoint und Sophos Enterprise Console zu Komplikationen auf Systemen mit Windows 7 SP 1, Windows Server 2008 R2 Service Pack 1, Windows 8.1 und Windows Server 2012 R2 führen können.
Dem Blogeintrag ist weiterhin zu entnehmen, dass Microsoft die Auslieferung aller genannten Updates an Systeme mit installierter Sophos Endpoint Protection blockiert habe, bis eine Lösung gefunden ist.

Updates blockieren oder entfernen
Admins sowie Nutzer von Windows-Clientversionen, die die betreffenden Updates noch nicht eingespielt haben, sollten diese vorsichtshalber blockieren.
Wer die Updates schon installiert hat und mit den beschriebenen Problemen kämpft, muss diese wohl oder übel wieder deinstallieren.

Quelle: Nach Microsoft-Patchday: KB4493472, KB4493446 und weitere Updates legen Windows lahm | heise online

Patchday: Nachtrag zu problematischen Windows-Updates

Am Patchday im April freigegebene Sicherheitsupdates haben verschiedene Windows-Versionen teils lahmgelegt. Nun gibt es weitere Infos und Workarounds.

Microsoft und verschiedene Anbieter von Antiviren-Software haben nun Details zur Problematik von jüngst verteilten Windows-Updates veröffentlicht, deren Installation auf zahlreichen Systemen schwerwiegende Probleme verursachte.

Die problembehafteten Patches brachte Microsoft am Patchday im April in Umlauf. Dabei kam es unter Windows 7, 8.1 und Windows Server 2008 R2 Service Pack 1 und Windows Server 2012 R2 zu Problemen, wenn AV-Software von Sophos installiert war. So fehlten beispielsweise Netzwerkverbindungen, Domainanmeldungen waren nicht möglich und Systeme froren sogar ein.

Inzwischen haben neben Sophos auch die AV-Anbieter Avast und Avira Probleme mit ihren Produkten in Verbindung mit den Sicherheitsupdates eingeräumt. Zudem ist auch AV-Software von ArcaBit betroffen.

Stellungnahme von Sophos
Sophos hat nun einen ausführlichen Supportbeitrag veröffentlicht. Falls Sophos Central Endpoint installiert war, konnten Systeme nach der Installation der Windows-Patches nicht mehr booten oder das System hing nach dem Start.

Microsoft hat die problematischen Updates blockiert, falls Sophos Central Endpoint installiert war. Darüber hinaus schlug Sophos vor, die folgenden Pfade vom Scan auszunehmen:

%programfiles%\Sophos\Sophos Anti-Virus\
%programfiles(x86)%\Sophos\Sophos Anti-Virus\

Diese Ausnahmen kann man in der Enterprise Console ab Version 5.4.1 als Richtlinien verwalten. Der Supportbeitrag nennt weitere Workarounds, um DLL-Dateien in den oben genannten Verzeichnissen manuell zu blockieren, falls die Enterprise Console nicht zur Verfügung steht.

Avast-Produkte
Auch auf Windows-Systemen mit der Antivirensoftware Avast for Business, Avast CloudCare und AVG Business Edition kam es mit den installierten Updates zu Problemen. War eines dieser Produkte installiert, reagierten Systeme nach dem Erreichen der Windows-Anmeldeseite nicht mehr. Zudem gab es nach einem längeren Zeitraum Schwierigkeiten bei der Windows-Anmeldung.

Auch Avast hat inzwischen einen Support-Beitrag veröffentlicht, der weitere Details nennt. Avast veröffentlicht derzeit über den Notfall-Updater seiner Produkte Micro-Updates, um die Probleme zu beheben.
Windows 10 mit Avira offenbar auch betroffen

Konnten sich Windows-10-Nutzer vermeintlich entspannt zurücklehnen, tauchten bald Berichte über extrem verlangsamte Windows-10-Systeme oder nicht mehr reagierende Kontextmenüs auf. Der Verdacht lag nahe, dass dies mit den kumulativen Updates zu tun habt. Bald gab es von Avira einen aber inzwischen gelöschten Beitrag, der eine Verlangsamung von Windows 7 und Windows 10 in Verbindung mit den Updates ausführte.

In Microsoft-KB-Artikeln sind inzwischen die hier genannten Probleme mit Avast, Avira und Sophos gesammelt aufgeführt. Zu Avira liest man nur, dass Microsoft die Verteilung der Updates vorübergehend gestoppt hat, wenn Antivirensoftware von Avira installiert ist.

AV-Software von ArcaBit
In KB-Artikeln wie KB4493509 gibt Microsoft zudem an, dass es ein Problem auf Geräten mit installierter Antivirensoftware von ArcaBit gäbe. Dieses kann unter Windows 10 dazu führen, dass das System nach der Installation der Windows-Updates beim Neustart nicht mehr reagiert.

Microsoft gibt an, dass ArcaBit ein Update zum Beheben des Problems freigegeben hat. Der von Microsoft verlinkt Supportbeitrag des polnischen Antivirus-Anbieters enthält aber nur die Telefonnummern des Supports.

Wer hat gepennt?
Aktuell ist unklar, ob die Anbieter der jeweiligen Sicherheitssoftware schlicht "geschlafen" haben, oder durch Microsofts April-2019-Updates überrascht wurden. Betroffene Anwender und Administratoren haben nun zumindest Hinweise zu Hintergründen und können entsprechend reagieren.

Quelle: Patchday: Nachtrag zu problematischen Windows-Updates | heise online