April-Patchday: Microsoft schließt 114 Sicherheitslücken

Microsoft hat die Updates für den April-Patchday veröffentlicht. Unter anderem in Windows, Edge, Azure, Office, SharePoint Server, Hyper-V, Team Foundation Server, Visual Studio und Exchange Server stecken insgesamt 114 Anfälligkeiten. Davon sind 19 mit dem höchsten Schweregrad “kritisch” bewertet – Angreifer sind unter Umständen in der Lage, Schadcode aus der Ferne einzuschleusen und auszuführen.

Eine Schwachstelle wird laut Microsoft bereits aktiv von Hackern ausgenutzt. Ein Fehler Win32k-Kerneltreiber erlaubt eine nicht autorisierte Ausweitung von Benutzerechten. Er betrifft Windows 10 Version 20H2 und früher sowie Windows Server 20H2 und früher. Entdeckt wurde der Bug von Forschern von Kaspersky Lab, was die Vermutung nahelegt, dass die Lücke bei der Verbreitung von Schadsoftware zum Einsatz kommt.

Zwei kritische Löcher stopften die Entwickler indes in Exchange Server. In beiden Fällen handelt es sich laut Microsoft um Fehler, die eine Remotecodeausführung erlauben. Sie wurden vom US-Geheimdienst NSA gefunden und haben 9,8 Punkte im zehnstufigen Common Vulnerability Scoring System. Ein Exploit erfordert offenbar keine Interaktion mit einem Nutzer.

“Uns ist nicht bekannt, dass die Schwachstellen in Angriffen gegen unsere Kunden verwendet wurden. Angesichts der jüngsten Fokussierung der Angreifer auf Exchange empfehlen wir unseren Kunden jedoch, die Updates so schnell wie möglich zu installieren, um sicherzustellen, dass sie vor diesen und anderen Bedrohungen geschützt bleiben”, heißt es im Blog des Microsoft Security Response Center. “Kunden, die Exchange Online verwenden, sind bereits geschützt und müssen keine Maßnahmen ergreifen.”

Weitere Anfälligkeiten patcht Microsoft in der Windows Spracherkennung, der Graphics-Komponente, im Dateisystem NTFS sowie im Windows Installer, Windows Kernel, Windows Media Player, Windows Kernel, SMB-Server TCP/IP und im WLAN-Autokonfig-Dienst von Windows. Auch der Secure Kernelmodus von Windows und Visual Studio sind angreifbar. Laut Zero Day Initiative ist der April-Patchday der bisher umfangreichste Patchday dieses Jahres.

Die Updates verteilt Microsoft wie über die Updates-Funktion von Windows. Sie können auch über die Windows Server Updates Services und den Update-Katalog bezogen werden.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Cyberrisiken in der Software-Lieferkette: Integrität als Schlüssel zum Erfolg

Software-Lieferkette ist gleichzeitig Infektionskette, sagt Udo Schneider, IoT Security Evangelist Europe bei Trend Micro, im…

10 Stunden ago

Alibaba Cloud eröffnet drittes Rechenzentrum in Deutschland

Standort des Rechenzentrum ist Frankfurt. Alibaba Cloud bietet dort unter anderem Storage, Networking, AI und…

14 Stunden ago

Apple veröffentlicht iOS 15.5 und iPadOS 15.5

Die Entwickler verbessern die Verwaltung gespeicherter Podcasts. Außerdem beheben sie mehr als 30 Sicherheitsprobleme.

16 Stunden ago

Low-Code ist nicht gleich Low-Code

Low-Code-Plattformen tragen oft dasselbe Label. Es gibt aber zwei grundverschiedene Ansätze: Entwicklungsplattform und Anwendungsplattform.

16 Stunden ago

Krankenhäuser besser vor Cyberangriffen schützen

FH Münster, Ruhr-Universität Bochum und Medizintechnikunternehmen schließen gemeinsames Forschungsprojekt zur Absicherung medizinischer Systeme ab.

17 Stunden ago

Emotet erobert die Malware-Spitzenposition

Anzahl der erfassten Bedrohungen durch bösartige Emotet-Spam-Kampagnen steigt um 27 Prozent.

17 Stunden ago