Wichtige Sicherheitsupdates schließen gefährliche Sicherheitslücken in beispielsweise Edge, Exchange Server, Internet Explorer, Visual Studio und verschiedenen Windows-Versionen. 13 Schwachstellen hat Microsoft mit dem Bedrohungsgrad "kritisch" eingestuft. In diesen Fällen könnten Angreifer verwundbare Computer über das Internet attackieren und unter Umständen mit vergleichsweise wenig Aufwand Schadcode ausführen. Wer Microsoft-Software nutzt, sollte sicherstellen, dass die aktuellen Patches über Windows Update installiert wurden.
Eine Lücke (CVE-2019-1429) im Internet Explorer gilt als besonders gefährlich, da Angreifer diese momentan aktiv ausnutzen. Damit ein Angreifer Schadcode auf Computer schieben kann, muss ein Opfer lediglich eine präparierte Website besuchen. Anschließend kommt es zu einem Speicherfehler, was den Weg für den Code von Angreifern ebnet. Welche Systeme von der kritischen Lücke bedroht sind, listet Microsoft in einer Warnmeldung auf.
Weitere als kritisch eingestufte Schwachstellen finden sich in Hyper-V zum Betrieb von virtuellen Maschinen. In diesen Fällen könnte ein Angreifer unter bestimmten Voraussetzungen aus einem Gast-System ausbrechen und Schadcode im Host-System ausführen. Auch Microsoft Exchange und Edge sind für Remote-Code-Execution-Attacken anfällig.
Noch mehr Schwachstellen
Die Sicherheitsupdates für die verbleibenden Lücken hat Microsoft als "wichtig" markiert. Können Angreifer die Schwachstellen erfolgreich ausnutzen, stehen sie mit erhöhten Windows-Rechten da. Dafür müssen sie aber bereits an einem System angemeldet sein.
Office-Anwendungen könnten sich an Schadcode verschlucken, wenn ein Angreifer einem Opfer eine präparierte Datei unterjubelt, die das Opfer öffnet. Eine weitere Office-Schwachstelle ist bereits öffentlich bekannt und Attacken auf macOS könnten bevorstehen, führt Microsoft in einem Beitrag aus. Außerdem hat Microsoft Windows gegen die jüngst veröffentlichte Intel-Lücke ZombieLoad v2 gerüstet.
Eine vollständige Übersicht über sämtliche Updates findet man in Microsofts Security Update Guide. Die ist allerdings recht unübersichtlich. Übersichtlicher ist beispielsweise ein Beitrag der Zero Day Initiative.
Weitere Sicherheitshinweise
Neben den Sicherheitsupdates hat Microsoft noch Sicherheitshinweise zu Schwachstellen in Trusted Platform Modules (TPM) bei der Verwendung des Elliptic Curve Digital Signature Algorithm (ECDASA) und Servicing Stack Updates für Windows 10 veröffentlicht.
Wer den verlängerten Security-Support für Windows 7 und Server 2008 R2 SP1 nutzen möchte, kann nun ein optionales Update (KB4528069) installieren, welches prüft, ob die Computer dafür vorbereitet sind.
Quelle: Patchday: Microsoft schließt Zero-Day-Lücke in Internet Explorer | heise online