Juni-Patchday: Microsoft schließt zwei Zero-Day-Lücken in Windows

Microsoft hat Sicherheitsupdates für zwei Zero-Day-Lücken in Windows veröffentlicht. Von ihnen geht nach Angaben des Unternehmens ein hohes Risiko aus. Eine der beiden Zero-Day-Lücken wird bereits aktiv für Angriffe ausgenutzt. Angreifer können unter Umständen aus der Ferne Schadcode einschleusen und ausführen.

Davon betroffen sind alle unterstützten Versionen von Windows und Windows Server bis hin zu Windows 11 24H2 und Windows Server 2025. Die eigentliche Anfälligkeit steckt in der Komponente WebDAV. Ein Opfer muss allerdings dazu verleitet werden, auf einem speziell gestalteten Link zu klicken, um den Bug ausnutzen zu können.

Die zweite Zero-Day-Lücke wird zwar noch nicht aktiv ausgenutzt, ist aber öffentlich bekannt. Ein Fehler im Windows SMB-Client erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten – ein Hacker kann System-Rechte erlangen. Laut Microsoft muss ein Nutzer lediglich ein bösartigen Skript ausführen, um eine Verbindung zu einem von einem Hacker kontrollierten Server herzustellen. Dieser Server kann das Protokoll kompromittieren und sich authentifizieren, was zu einer Rechteerweiterung führen kann.

Insgesamt stopft Microsoft mit dem Juni-Patchday 67 Löcher in seinen Produkten. Davon sind zehn als kritisch eingestuft. Fünf kritische Lücken beseitigt Microsoft in Office und SharePoint Server. Sie erlauben jeweils eine Remotecodeausführung.

Weitere Fehler beheben die Entwickler in den Windows-Komponenten Speicherverwaltungsanbieter, Kryptografiedienste, Remotedesktopdienste, Installer, Medien, Speicherport-Treiber, DHCP-Server, LSA, Routing- und RAS-Dienst, Kernel, Netlogon, Shell und Windows Hello. Außerdem erhalten Power Automate, Visual Studio, Word, Outlook, PowerPoint, Excel und .NET und Visual Studio sicherheitsrelevante Fixes.