Patch-Dienstag: Microsoft schließt zwei Zero-Day-Lücken

Microsoft hat seine monatlichen Sicherheitsupdates veröffentlicht. Für Windows, Office und weitere Produkte des Unternehmens bringt der April-Patchday mehr als 100 Fixes. Darunter sind auch zwei Zero-Day-Lücken im Windows-Benutzerprofildienst und Protokolldateisystem von Windows.

Von beiden Zero-Day-Lücken geht laut Microsoft ein hohes Risiko aus. Angreifbar sind jeweils alle unterstützten Versionen von Windows und Windows Server bis hin zu Windows 11 und Windows Server 2022. Zudem erlauben beide eine nicht autorisierte Ausweitung von Benutzerrechten. Während der Bug im Benutzerprofildienst öffentlich bekannt ist, aber noch nicht ausgenutzt wird, wird die Schwachstelle im Protokolldateisystem bereits aktiv für Hackerangriff eingesetzt. Laut Microsoft sind die Details für diese Anfälligkeit aber noch nicht durchgesickert.

Darüber hinaus beseitigt Microsoft zehn als kritisch eingestufte Sicherheitslücken, die sich unter anderem für das Einschleusen und Ausführen von Schadcode aus der Ferne missbrauchen lassen. Zwei dieser Bugs sind mit 9,8 von zehn möglichen Punkten im Common Vulnerability Scoring System bewertet. Betroffen sind die Windows-Komponenten Remoteprozeduraufruf und Netzwerk-Dateisystem.

Eine Übersicht über alle verfügbaren Patches bietet wie immer der Security Update Guide. Die Versionshinweise nennen indes unter anderem .NET Framework, Azure SDK, Dynamics, Edge, Office, Power BI, Skype for Business und Visual Studio als anfällig. Patches bietet Microsoft aber auch für Windows-Komponenten wie App Store, AppX Package Manager, Defender, File Explorer, File Server, Installer, Kernel, Media, PowerShell, SMB und Win32K an.

Nutzern von Windows 10 und Windows 11 stehen indes neue kumulative Updates zur Verfügung, die alle benötigten Sicherheitsfixes enthalten. Mit dem kumulativen Update liefert Microsoft aber auch seit Ende März verfügbare Fehlerkorrekturen für beide Betriebssysteme an alle Nutzer aus. Sie beseitigen nicht sicherheitsrelevante Bugs.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

15 Stunden ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

16 Stunden ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

18 Stunden ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

2 Tagen ago

Privates 5G-Netz für Rheinhäfen Karlsruhe

Über das private 5G-Campusnetz will das Unternehmen logistische Prozesse digitalisieren und künftig in Echtzeit steuern.

2 Tagen ago

Malware im Februar: WordPress-Websites im Visier einer neuen FakeUpdates-Kampagne

Check Point hat eine neue FakeUpdate-Kampagne namens SocGolish entdeckt, die WordPress-Websites mit gestohlenen Administratorkonten angreift.

3 Tagen ago