Wie immer war auch am gestrigen zweiten Dienstag des Monats Microsofts Patchday. Diesmal wurden dabei 74 Sicherheitslücken in Admin Center, Adobe Flash Player, ASP.NET, Azure DevOps Server, ChakraCore, Edge, Exchange Server, Internet Explorer, Office und Office Services und Web Apps, Open Enclave SDK, Team Foundation Server und last not least in Windows mit Sicherheitsupdates geschlossen.
Dreizehn dieser Lücken waren als „kritisch“ eingestuft, die restlichen 61 als „wichtig“. Auffällig viele der Schwachstellen steckten diesmal in der Chakra Scripting Engine des Browsers Edge und in den XML Core Services von Microsoft.
Details zu den April-Patches finden Sie in den Release Notes und im Security Update Guide.
Exploits für zwei der Lücken gesichtet
Von der Zero Day Initiative, über deren Bug-Bounty-Programm sechs der nun geschlossenen Lücken an Microsoft gemeldet wurden, werden in einem Blogeintrag zwei Fälle gemeldet, in denen die Sicherheitsforscher schon aktive Exploits dazu in freier Wildbahn beobachten konnten.
Diese Lücken steckten in der Win32k-Komponente mehrerer Windows-Versionen. Die von Micorosoft veröffentlichten Details zu CVE-2019-0803 beziehungsweise CVE-2019-0859 legen nahe, dass erfolgreiche Angreifer schlimmstenfalls beliebigen Code im Kernel-Mode ausführen könnten.
Deshalb sei unter anderem die Installation von Programmen, das Auslesen, Manipulieren und Löschen von Daten und sogar das Anlegen neuer Accounts mit vollen Administrator-Rechten. Die Voraussetzungen für einen solchen Angriff nennt Microsoft aber dort nicht.
