Microsoft versorgt Office, Windows & Co. mit 74 Sicherheitspatches. Einige Lücken gelten als kritisch. Angreifer attackieren derzeit den Internet Explorer.

Wichtige Sicherheitsupdates schließen gefährliche Sicherheitslücken in beispielsweise Edge, Exchange Server, Internet Explorer, Visual Studio und verschiedenen Windows-Versionen. 13 Schwachstellen hat Microsoft mit dem Bedrohungsgrad "kritisch" eingestuft. In diesen Fällen könnten Angreifer verwundbare Computer über das Internet attackieren und unter Umständen mit vergleichsweise wenig Aufwand Schadcode ausführen. Wer Microsoft-Software nutzt, sollte sicherstellen, dass die aktuellen Patches über Windows Update installiert wurden.

Eine Lücke (CVE-2019-1429) im Internet Explorer gilt als besonders gefährlich, da Angreifer diese momentan aktiv ausnutzen. Damit ein Angreifer Schadcode auf Computer schieben kann, muss ein Opfer lediglich eine präparierte Website besuchen. Anschließend kommt es zu einem Speicherfehler, was den Weg für den Code von Angreifern ebnet.

Weitere als kritisch eingestufte Schwachstellen finden sich in Hyper-V zum Betrieb von virtuellen Maschinen. In diesen Fällen könnte ein Angreifer unter bestimmten Voraussetzungen aus einem Gast-System ausbrechen und Schadcode im Host-System ausführen. Auch Microsoft Exchange und Edge sind für Remote-Code-Execution-Attacken anfällig.

Noch mehr Schwachstellen

Die Sicherheitsupdates für die verbleibenden Lücken hat Microsoft als "wichtig" markiert. Können Angreifer die Schwachstellen erfolgreich ausnutzen, stehen sie mit erhöhten Windows-Rechten da. Dafür müssen sie aber bereits an einem System angemeldet sein.

Office-Anwendungen könnten sich an Schadcode verschlucken, wenn ein Angreifer einem Opfer eine präparierte Datei unterjubelt, die das Opfer öffnet. Eine weitere Office-Schwachstelle ist bereits öffentlich bekannt und Attacken auf macOS könnten bevorstehen, führt Microsoft in einem Beitrag aus. Außerdem hat Microsoft Windows gegen die jüngst veröffentlichte Intel-Lücke ZombieLoad v2 gerüstet.
Quelle und weitere Informationen : https://www.heise.de/security/meldun...r-4584926.html