Microsoft hat im März zwei Patchdays angekündigt. Dabei werden sowie die aus unbekannten Gründen verschobenen Patches für den Februar als ebenfalls die Patches für den aktuellen Monat bereitgestellt. Insgesamt werden 140 Sicherheitslücken geschlossen.
Jeweils neun Sicherheitsptaches stuft der Konzern mit dem Schweregrad "kritisch" und "hoch" ein ? Windows Nutzer sollten diese zügig installieren.
In vielen Fällen können Angreifer ohne Authentifizierung und mit vergleichsweise wenig Aufwand Schadcode auf gefährdete Computer schieben und ausführen. In einem derartigen Fall sind Geräte in der Regel kompromittiert.
Hat es ein Angreifer etwa auf die Lücken in den Webbrowsern Edge & Internet Explorer abgesehen, muss er sein Opfer für einen erfolgreichen Übergriff lediglich auf eine präparierte Webseite locken. In anderen Fällen reicht das Öffnen eines manipulierten Office- oder PDF-Dokumentes aus. Nutzt ein Angreifer die mit dem Schwergrad "hoch" eingestuften Lücken aus, kann er sich höhere Rechte erschleichen oder Informationen abziehen, macht verständlich Microsoft.
Kritische Lücken einen Monat lang offen
Im Februar ließ Microsoft den Patchday aus unbekannten Gründen ausfallen und verschob die Veröffentlichung der für diesen Monat geplanten Sicherheitsupdates in den März. Einzig Adobes Flash Player für Edge und Internet Explorer wurde im Februar mit einem Sicherheitsupdate versorgt. Windows-Computer mussten demzufolge einen Monat ohne Sicherheitsupdates auskommen.
Das prekäre dabei: Zu diesem Zeitpunkt war bereits eine Zero-Day-SMB-Lücke bekannt die Microsoft, ebenso wie erst jetzt kommuniziert wie kritisch einstuft. Zwischenzeitlich waren sicherheitsforscher uneinig, ob Angreifer die Schwachstelle für das Einschleusen von Schadcode missbrauchen können: Dies hat Microsoft nun bestätigt.
Googles Security-Einheit Project Zero förderte in der Zwischenzeit zwei weitere, mittlerweile als kritisch bewertete Schwachstellen zutage. Alle bereits im Februar bekannten Lücken hat Microsoft nun geschlossen. Die Webbrowser Edge & Internet Explorer 11 für Windows 8․1 und Windows 10 bekommen das Flash-Update für diesen Monat wie gewohnt automatisch serviert.
- MS17-006 Kumulatives Sicherheitsupdate für Internet Explorer (4013073) Kritisch
- MS17-007 Kumulatives Sicherheitsupdate für Microsoft Edge (4013071) Kritisch
- MS17-008 Sicherheitsupdate für Windows Hyper-V (4013082) Kritisch
- MS17-009 Sicherheitsupdate für Microsoft Windows-PDF-Bibliothek (4010319) Kritisch
- MS17-010 Sicherheitsupdate für Microsoft Windows SMB-Server (4013389) Kritisc h
- MS17-011 Sicherheitsupdate für Microsoft Uniscribe (4013076) Kritisch
- MS17-012 Sicherheitsupdate für Microsoft Windows (4013078) Kritisch
- MS17-013 Sicherheitsupdate für Microsoft-Grafikkomponente (4013075) Kritisch
- MS17-023 Sicherheitsupdate für Adobe Flash Player (4014329) Kritisch
- MS17-014 Sicherheitsupdate für Microsoft Office (4013241) Hoch
- MS17-015 Sicherheitsupdate für Microsoft Exchange Server (4013242) Hoch
- MS17-016 Sicherheitsupdate für Windows IIS (4013074) Hoch
- MS17-017 Sicherheitsupdate für Windows Kernel (4013081) Hoch
- MS17-018 Sicherheitsupdate für Windows-Kernelmodustreiber (4013083) Hoch
- MS17-019 Sicherheitsupdate für Active Directory-Verbunddienste (4010320) Hoch
- MS17-020 Sicherheitsupdate für Windows DVD Maker (3208223) Hoch
- MS17-021 Sicherheitsupdate für Windows DirectShow (4010318) Hoch
- MS17-022 Sicherheitsupdate für Microsoft XML Core Services (4010321) Hoch
- Patchday: Adobe umsorgt Flash und Shockwave Player
Kommentare