Patchday: Microsoft schließt 74 teils kritische Lücken
Zum Patch Tuesday hat Microsoft durchweg als wichtige bis kritisch eingestufte Sicherheitsprobleme in zahlreichen Produkten behoben.
Am Patchday hat Microsoft Sicherheitsupdates für Admin Center, Adobe Flash Player, ASP.NET, Azure DevOps Server, ChakraCore, Edge, Exchange Server, Internet Explorer, Office und Office Services und Web Apps, Open Enclave SDK, Team Foundation Server und natürlich für Windows veröffentlicht.
Das Unternehmen schloss insgesamt 74 Lücken, deren Schweregrad in 13 Fällen als "kritisch" bewertet wurde. Die übrigen 61 Patches stufte Microsoft als "wichtig" ein. Viele der kritischen Lücken verbergen sich in der Chakra Scripting Engine, die im Edge-Browser zum Einsatz kommt, und in den Microsoft XML Core Services (MSXML).
Wie in jedem Monat hat Microsoft einige Update-Details in den Release Notes zusammengefasst. Der "Security Update Guide" listet wie immer sämtliche Updates nebst Downloads aus Microsofts Update-Katalog auf. Eine bessere Übersicht bieten unter anderem Blogeinträge der Zero Day Initiative und von Ciscos Talos Intelligence.
Aktive Exploits für zwei Lücken entdeckt
Die Zero Day Initiative, über deren Bug-Bounty-Programm sechs der nun geschlossenen Lücken an Microsoft gemeldet wurden, weist in ihrem Blogeintrag auf zwei Fälle hin, in denen Sicherheitsforscher aktive Exploits in freier Wildbahn beobachtet haben.
Die betreffenden Lücken befinden sich in der Win32k-Komponente mehrerer Windows-Versionen. Den von Micorosoft veröffentlichten Details zu CVE-2019-0803 beziehungsweise CVE-2019-0859 ist zu entnehmen, dass erfolgreiche Angreifer im schlimmsten Fall beliebigen Code im Kernel-Mode ausführen könnten.
Möglich sei unter anderem das Installieren von Programmen, das Auslesen, Manipulieren und Löschen von Daten sowie das Anlegen neuer Accounts mit vollen Adminrechten. Angaben zu den Voraussetzungen für einen Angriff macht Microsoft aber nicht. (ovw)