Februar-Patchday: Microsoft schließt drei Zero-Day-Lücken

Microsoft hat neue Sicherheitsupdates veröffentlicht. Der Februar-Patchday bringt Fixes für 75 Anfälligkeiten, von denen neun als kritisch eingestuft sind. Darunter sind auch drei Zero-Day-Lücken, die nach Angaben des Unternehmens bereits aktiv von Hackern für Angriffe benutzt werden.

Dazu gehört eine Anfälligkeit in Microsoft Publisher, die das Umgehen von Sicherheitsfunktionen erlaubt. Ein Angriff ist jedoch ohne vorherige Authentifizierung nicht möglich. Zudem muss ein Opfer dazu verleitet werden, eine speziell gestaltete Datei zu öffnen, die dann die Makro-Richtlinien von Office aushebelt.

Zero-Day-Lücke auch in der Windows-Grafikkomponente

Eine nicht autorisierte Ausweitung von Benutzerrechten lässt sich über eine weitere Zero-Day-Lücke in im Treiber des gemeinsamen Protokolldateisystems erreichen. Die Zero Day Initiative weist darauf hin, dass sich dieser Bug mit einer weiteren Schwachstelle kombinieren lässt, die eine Remotecodeausführung ermöglicht, um Schadsoftware oder Ransomware einzuschleusen.

Die dritte Zero-Day-Lücke steckt in der Windows-Grafikkomponente. Ein Angreifer könnte aus der Ferne Schadcode einschleusen und ausführen, und zwar mit System-Rechten. Microsoft weist darauf hin, dass der Patch für diese Anfälligkeit über den Microsoft Store und nicht über Windows Update verteilt wird.

Schwachstelle in Word besonders schwerwiegend

Als kritisch bewertet Microsoft Sicherheitslücken in .NET und Visual Studio, im PEAP-Protokoll, im SQL-ODBC-Treiber und in Microsoft Word. Alle neuen kritischen Schwachstellen erlauben eine Remotecodeausführung. Im zehnstufigen Common Vulnerability Scoring System (CVSS) sind sie mit bis zu 9,8 Punkten bewertet. Die Zero Day Initiative warnt vor allem vor der Word-Lücke, da sie sich ohne Interaktion mit einem Anwender ausnutzen lässt.

Weitere Löcher stopft Microsoft in Azure App Service, Azure Machine Learning, HoloLens, Dynamics, Exchange Server, Office, Power BI und der Windows Medienbibliothek. Außerdem sind Windows-Komponenten wie Kryptografiedienste, Installer, Kerberos und Kernel betroffen.

Die Verteilung der Patches erfolgt wie immer über Windows Update oder Dienste wie Windows Server Update Services. Angesichts der drei Zero-Day-Lücken sowie der neuen kritischen Anfälligkeiten erscheint eine zeitnahe Installation der Fehlerkorrekturen ratsam.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

3 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

4 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

1 Tag ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

1 Tag ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

1 Tag ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

1 Tag ago