Microsoft hat die Januar-Updates für Windows, Office und weitere Produkte des Unternehmens freigegeben. Am ersten Patchday des Jahres stopft das Unternehmen insgesamt 159 Löcher. Davon sind 11 als kritisch bewertet. Angreifer können unter Umständen aus der Ferne Schadcode einschleusen und ausführen.

Mit 159 Fixes ist es laut Zero Day Initiative zudem der umfangreichste Patchday seit mindestens 2017. In den vergangenen Jahren sei Microsoft in der Regel mit weniger als 80 Patches in das neue Jahr gestartet. Zudem sind fünf Schwachstellen bereits öffentlich bekannt und drei werden schon aktiv von Hackern ausgenutzt.

Sie stecken in Windows Hyper-V und erlauben eine nicht autorisierte Ausweitung von Benutzerrechten. Ein authentifizierter Benutzer kann von einem Gast aus Schadcode mit System-Rechten auf dem Hypervisor ausführen.

Als besonders schwerwiegend wird auch ein Fehler in Windows OLE eingestuft, der beim Verarbeiten von E-Mails mit Outlook auftritt. Bereits das Anzeigen einer Vorschau eines speziell gestalteten Dateianhangs im RTF-Format kann eine Remotecodeausführung auslösen. Die Anfälligkeit kann nicht ausgenutzt werden, falls Outlook so konfiguriert ist, dass Standardnachrichten im Nur-Text-Format verarbeitet werden. Betroffen sind alle unterstützten Versionen von Windows und Windows Server.

Darüber hinaus sind .NET, Visual Studio, Windows Boot Loader, BitLocker, Kerberos, Remotedesktopdienste, Message Queueing, Windows digitale Medien, Telefoniedienst und Windows Installer angreifbar. Patches stehen aber auch für Windows Virtual TPM, Windows COM, Direct Show, BranchCache, Active Directory Domain Services, UPnP Gerätehost, NTLM, Windows-Kernelspeicher, Internet Explorer, Windows Hello, Office, SharePoint, Visio, Excel, Outlook für Mac und Access zur Verfügung.