Am Patchday im Februar kümmert sich Microsoft um .NET Framework, Azure, ChakraCore, Edge, Exchange Server, Internet Explorer, Office, Team Foundation Services und Windows. Insgesamt gibt es über 70 Sicherheitshinweise. 20 Sicherheitslücken sind mit dem Bedrohungsgrad "kritisch" eingestuft.

Besonders gefährdet sind Admins, die einen Windows-DHCP-Server betreiben. Für einen erfolgreichen Angriff müssten Angreifer lediglich präparierte Pakete an der Server schicken, um anschließend Schadcode ausführen zu können. In einer Sicherheitswarnung zur Lücke (CVE-2019-0626) listet Microsoft die betroffenen Windows-Versionen auf.

Die Webanwendung SharePoint ist über zwei als kritisch eingestufte Schwachstellen (CVE-2019-0604, CVE-2019-0594) angreifbar. Aufgrund einer unzureichenden Überprüfung soll der Upload einer speziell vorbereiteten SharePoint-Applikation die Tore für Schadcode öffnen, warnt Microsoft in seinem Sicherheitscenter.

Weitere kritische Lücken finden sich in Internet Explorer und Edge. Dabei kommt es zu Fehlern bei der Speicherverarbeitung und beispielsweise der Besuch einer von einem Angreifer vorbereiteten Website soll genügen, um Schadcode auf Computern von Opfern auszuführen.

Internet Explorer im Visier von Angreifern
In einer Mitteilung warnt Microsoft vor Angriffen auf den Internet Explorer. Besucht ein Opfer eine präparierte Website, könnte ein Angreifer Festplatten nach Daten durchsuchen. Microsoft stuft das Sicherheitsupdate für die Lücke (CVE-2019-0676) als "wichtig" ein.

Nun gibt es auch einen Patch für einen Bug in Exchange. Durch das Ausnutzen können sich Angreifer höhere Rechte aneignen, schreibt Microsoft in einer Warnung. Bislang gab es nur Workarounds, um Exchange-Server zu schützen.

Office-Patches
Für Office hat Microsoft ein ganzes Update-Paket veröffentlicht. Darunter finden sich 19 Sicherheits- und 28 Funktionsupdates. Weitere Infos dazu findet man auf einer Website.

Das Update für den Flash Player für Edge und Internet Explorer installiert sich unter Windows 8.1 und 10 automatisch. Das ist in diese Konstellation auch bei Chrome der Fall.
Quelle und Informationen : https://www.heise.de/security/meldun...r-4307548.html