Patchday: Microsoft schließt über 100 Lücken, drei Windows-Lücken unter Beschuss

Am Patchday im April hat Microsoft Sicherheitsupdates für 113 Lücken veröffentlicht. Darunter finden sich Patches für Edge, Internet Explorer, Office, Windows und Windows Defender. Drei Windows-Lücken nutzen Angreifer derzeit aktiv aus.

Wer das Betriebssystem nutzt, sollte sicherstellen, dass Windows Update die aktuellen Patches installiert hat.

Ein Font, sie zu knechten

Eine Sicherheitslücke (CVE-2020-1020) im Adobe Font Manager von Windows 7, 8.1 und 10 und verschiedenen Server-Versionen haben Angreifer bereits seit Ende März 2020 im Visier. Microsoft spricht In diesem Kontext von "begrenzten, gezielten" Attacken auf Computer mit Windows 7. Bislang gab es nur Workarounds, um PCs vor derartigen Angriffen abzusichern. Wie aus einer Meldung von Microsoft hervorgeht, sind nun Sicherheitsupdates erschienen.

Für eine erfolgreiche Attacke müsste ein Angreifer einem Opfer eine präparierte Master-Font-Datei unterschieben. Anschließend könnten sie bis auf Windows 10 unter allen Systemen Schadcode ausführen. Auch die zweite derzeit ausgenutzte Schwachstelle (CVE-2020-0938) betrifft den Adobe Font Manager. Das Angriffsszenario und die Auswirkungen sind identisch. Den Schweregrad beider Lücken hat Microsoft als "wichtig" eingestuft.

Auch der Patch für die dritte Schwachstelle (CVE-2020-1027) , auf die es Angreifer derzeit abgesehen haben, ist als "wichtig" eingestuft. Sie betrifft den Windows Kernel und Angreifer könnten sich höhere Rechte verschaffen. Dafür müsste ein Angreifer aber lokal authentifiziert sein und eine spezielle Applikation ausführen.

Weitere gefährliche Lücken

Eine "kritische" Sicherheitslücke (CVE-2020-0968) in Internet Explorer 9, 10, 11 war in einer Warnmeldung kurzzeitig auch als aktiv ausgenutzt gekennzeichnet. Mittlerweile hat Microsoft den Status korrigiert und legt eine baldige Ausnutzung nahe. Für eine erfolgreiche Attacke soll der Besuch einer von einem Angreifer präparierten Website ausreichen. Das soll den Speicher so manipulieren, dass ein Angreifer Code mit den Rechten des Opfers ausführen könnte.

Weitere als "kritisch" eingestufte Schwachstellen (CVE-2020-0927, CVE-2020-0929, CVE-2020-0931, CVE-2020-0932, CVE-2020-0974) gefährden beispielsweise die Webanwendung SharePoint. Damit eine Attacke klappt, müsste ein Angreifer ein Opfer aber dazu bringen, ein manipuliertes Paket mit einer verwundbaren SharePoint-Version zu verarbeiten. Weitere Infos beschreibt Microsoft in einem Beitrag zur Lücke.

Auch die Virtualisierungsumgebung Hyper-V ist vor Angriffen auf eine kritische Schwachstelle (CVE-2020-0910) gefährdet. Hier könnte ein Angreifer aus einem Gastsystem ausbrechen und Schadcode im Hostsystem ausführen.

Alle Sicherheitspatches aus dem April listet Microsofts Security Update Guide auf. Die Auflistung ist aber nicht wirklich übersichtlich. Beispielsweise im Blog von Trend Micros Zero Day Initiative sind weitere Informationen übersichtlicher aufbereitet. (des)