Patch-Dienstag: Microsoft schließt zwei Zero-Day-Lücken

Microsoft hat seine monatlichen Sicherheitsupdates veröffentlicht. Für Windows, Office und weitere Produkte des Unternehmens bringt der April-Patchday mehr als 100 Fixes. Darunter sind auch zwei Zero-Day-Lücken im Windows-Benutzerprofildienst und Protokolldateisystem von Windows.

Von beiden Zero-Day-Lücken geht laut Microsoft ein hohes Risiko aus. Angreifbar sind jeweils alle unterstützten Versionen von Windows und Windows Server bis hin zu Windows 11 und Windows Server 2022. Zudem erlauben beide eine nicht autorisierte Ausweitung von Benutzerrechten. Während der Bug im Benutzerprofildienst öffentlich bekannt ist, aber noch nicht ausgenutzt wird, wird die Schwachstelle im Protokolldateisystem bereits aktiv für Hackerangriff eingesetzt. Laut Microsoft sind die Details für diese Anfälligkeit aber noch nicht durchgesickert.

Darüber hinaus beseitigt Microsoft zehn als kritisch eingestufte Sicherheitslücken, die sich unter anderem für das Einschleusen und Ausführen von Schadcode aus der Ferne missbrauchen lassen. Zwei dieser Bugs sind mit 9,8 von zehn möglichen Punkten im Common Vulnerability Scoring System bewertet. Betroffen sind die Windows-Komponenten Remoteprozeduraufruf und Netzwerk-Dateisystem.

Eine Übersicht über alle verfügbaren Patches bietet wie immer der Security Update Guide. Die Versionshinweise nennen indes unter anderem .NET Framework, Azure SDK, Dynamics, Edge, Office, Power BI, Skype for Business und Visual Studio als anfällig. Patches bietet Microsoft aber auch für Windows-Komponenten wie App Store, AppX Package Manager, Defender, File Explorer, File Server, Installer, Kernel, Media, PowerShell, SMB und Win32K an.

Nutzern von Windows 10 und Windows 11 stehen indes neue kumulative Updates zur Verfügung, die alle benötigten Sicherheitsfixes enthalten. Mit dem kumulativen Update liefert Microsoft aber auch seit Ende März verfügbare Fehlerkorrekturen für beide Betriebssysteme an alle Nutzer aus. Sie beseitigen nicht sicherheitsrelevante Bugs.