Wie immer hat Microsoft auch in dieser Woche am 2. Dienstag im Monat die Sicherheitspatches für den Monat April zum Download bereitgestellt. Es werden mehr als 60 Schwachstellen in Azure, Edge, Hyper-V, Internet Explorer, Office, Scripting Engine und Windows geschlossen, von denen 25 Lücken mit dem Bedrohungsgrad “kritisch” eingestuft sind. Die meisten der restlichen Sicherheitslücken sind als “wichtig” eingestuft.
Als kritischste Schwachstellen gelten verschiedene Lücken in der Chakra Scripting Engine, die unter anderem auch mit dem Microsoft-Browser Edge zusammenarbeitet. Hier soll für einen erfolgreichen Übergriff der alleinige Besuch einer präparierten Webseite ausreichen, warnt Microsoft.
Nach der Attacke sollen die Angreifer über dieselben Nutzerrechte wie das Opfer verfügen und damit Schadcode ausführen können. Wenn also das Opfer Admin-Rechte hat, wird ein Computer durch diesem Angriff kompromittiert. Auch der Internet Explorer ist für ähnliche Angriff anfällig.
Außerdem verteilt Microsoft ein Hardware-Sicherheitsupdate für das Wireless Keyboard 850. Mit viel Aufwand soll es Angreifern damit möglich sein, einen AES-Schlüssel zu extrahieren und wiederverwenden zu können. Damit können sie letztlich die Tastatureingaben mitschneiden und sogar auch manipulieren.
Wie immer hält Microsoft Informationen über alle gepatchten Sicherheitslücken im Security Update Guide bereit. Leider ist diese Auflistung wenig übersichtlich, daher sei der Hinweis auf viel besser aufbereitete Listen wie beispielsweise im Patchday-Blog-Artikel von Cisco Talos gestattet.
