Sicherheitsupdates: Microsoft veranstaltet zwei Patchdays an einem Tag

Im März holt Microsoft den aus unbekannten Gründen verschobenen Patchday aus dem Februar nach, stellt zudem die Patches für den aktuellen Monat bereit und schließt insgesamt 140 Sicherheitslücken.

In Pocket speichern vorlesen Druckansicht 243 Kommentare lesen
Sicherheitsupdates: Microsoft veranstaltet zwei Patchdays an einem Tag
Lesezeit: 3 Min.

Mit 18 Patches schließt Microsoft 140 Sicherheitslücken in Edge, Exchange Server, Internet Explorer, Office, Silverlight und diversen Windows-Versionen (Client und Server). Jeweils neun Sicherheitsptaches stuft der Konzern mit dem Schweregrad "kritisch" und "hoch" ein – Windows-Nutzer sollten diese zügig installieren.

In vielen Fällen können Angreifer ohne Authentifizierung und mit vergleichsweise wenig Aufwand auf gefährdete Computer Schadcode schieben und ausführen. In einem derartigen Fall sind Geräte in der Regel kompromittiert.

Hat es etwa ein Angreifer auf die Lücken in den Webbrowsern Edge und Internet Explorer abgesehen, muss er sein Opfer für einen erfolgreichen Übergriff lediglich auf eine präparierte Webseite locken. In anderen Fällen reicht aus, ein manipuliertes Office- oder PDF-Dokument zu öffnen. Bricht ein Angreifer über eine der mit dem Schwergrad "hoch" eingestuften Lücken ein, kann er Informationen abziehen oder sich höhere Rechte erschleichen, erläutert Microsoft.

Im Februar ließ Microsoft den Patchday aus unbekannten Gründen ausfallen und verschob die Veröffentlichung der für diesen Monat geplanten Sicherheits-Updates in den März. Einzig Adobes Flash Player für Edge und Internet Explorer wurde im Februar mit einem Sicherheitsupdate versorgt. Windows-Computer mussten demzufolge einen Monat ohne Sicherheitsupdates auskommen.

Das Prekäre dabei: Zu diesem Zeitpunkt war bereits eine Zero-Day-SMB-Lücke bekannt, die Microsoft, wie erst jetzt kommuniziert, als kritisch einstuft. Zwischenzeitlich waren sich Sicherheitsforscher uneinig, ob Angreifer die Schwachstelle für das Einschleusen von Schadcode missbrauchen können: Dies hat Microsoft nun bestätigt.

Googles Security-Einheit Project Zero förderte in der Zwischenzeit zwei weitere, mittlerweile als kritisch bewertete Schwachstellen zutage. Alle bereits im Februar bekannten Lücken hat Microsoft nun geschlossen. Die Webbrowser Edge und Internet Explorer 11 für Windows 8.1 und Windows 10 bekommen das Flash-Update für diesen Monat wie gewohnt automatisch serviert.

  • MS17-006 Kumulatives Sicherheitsupdate für Internet Explorer (4013073) Kritisch
  • MS17-007 Kumulatives Sicherheitsupdate für Microsoft Edge (4013071) Kritisch
  • MS17-008 Sicherheitsupdate für Windows Hyper-V (4013082) Kritisch
  • MS17-009 Sicherheitsupdate für Microsoft Windows-PDF-Bibliothek (4010319) Kritisch
  • MS17-010 Sicherheitsupdate für Microsoft Windows SMB-Server (4013389) Kritisc h
  • MS17-011 Sicherheitsupdate für Microsoft Uniscribe (4013076) Kritisch
  • MS17-012 Sicherheitsupdate für Microsoft Windows (4013078) Kritisch
  • MS17-013 Sicherheitsupdate für Microsoft-Grafikkomponente (4013075) Kritisch
  • MS17-023 Sicherheitsupdate für Adobe Flash Player (4014329) Kritisch
  • MS17-014 Sicherheitsupdate für Microsoft Office (4013241) Hoch
  • MS17-015 Sicherheitsupdate für Microsoft Exchange Server (4013242) Hoch
  • MS17-016 Sicherheitsupdate für Windows IIS (4013074) Hoch
  • MS17-017 Sicherheitsupdate für Windows Kernel (4013081) Hoch
  • MS17-018 Sicherheitsupdate für Windows-Kernelmodustreiber (4013083) Hoch
  • MS17-019 Sicherheitsupdate für Active Directory-Verbunddienste (4010320) Hoch
  • MS17-020 Sicherheitsupdate für Windows DVD Maker (3208223) Hoch
  • MS17-021 Sicherheitsupdate für Windows DirectShow (4010318) Hoch
  • MS17-022 Sicherheitsupdate für Microsoft XML Core Services (4010321) Hoch
Auch Adobe veröffentlichte Patches:

(des)