Microsoft räumt am ersten Patchday des Jahres 49 Sicherheitsprobleme in beispielsweise Edge, Exchange und verschiedenen Windows-Versionen aus dem Weg. Sieben Lücken gelten davon als kritisch, 40 Patches sind als wichtig markiert.

Zwei Lücken (CVE-2019-0550, CVE-2019-0551) in Hyper-V gelten als besonders gefährlich. Ist an einer virtuellen Maschine ein Angreifer im Gast-System angemeldet, soll er durch das Ausführen einer speziellen Anwendung Schadcode in das Host-System schieben und ausführen können.

Der Browser Edge hat Probleme mit der Speicherverwaltung (CVE-2019-0565) und der alleinige Besuch einer von einem Angreifer präparierten Website soll als Sprungbrett für Schadcode dienen.

Im DHCP-Client von Windows 10 und Server (Version 1803) ist eine weitere kritische Sicherheitslücke. Ein Angreifer muss, um die Lücke (CVE-2019-0547) auszunutzen, lediglich speziell vorbereitete DHCP-Anfragen an verwundbare Windows-Computer schicken. Das Ausführen von Schadcode soll anschließend möglich sein.

Microsoft stuft den Patch für eine Remote-Code-Execution-Lücke (CVE-2019-0586) in Exchange nur als wichtig ein, obwohl bereits der Empfang einer präparierten E-Mail einen Angriff einleiten können soll, um Schadcode auf Computer zu schieben.

Microsoft zufolge ist eine Schwachstelle (CVE-2019-0579) in Jet Database Engine schon länger öffentlich bekannt, Angriffe soll es derzeit aber noch nicht geben.

Internet Explorer 11 und Edge holen sich unter Windows 8.1 und 10 das Flash-Update zur Steigerung der Performance automatisch. Bei Chrome passiert dieses genauso.

Microsoft listet in seinem Security Update Guide weitere Infos zu den Sicherheitslücken und Patches auf.

(jf, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE