Beim Update-Dienstag im Mai hat Microsoft insgesamt 55 Sicherheitslücken geschlossen. Darunter sind nur vier Schwachstellen, die Microsoft als kritisch einstuft.

Im Gegensatz zum Vormonat bleibt die Zahl der beim monatlichen Patch Day beseitigten Schwachstellen im Mai deutlich unter der 100er-Marke. Unter den 55 am 11. Mai behobenen Schwachstellen stuft Microsoft lediglich vier als kritisch ein, den Rest bis auf eine als hohes Risiko. Kritische Lücken betreffen Windows, Hyper-V und den Internet Explorer (IE). Drei Schwachstellen waren vorab öffentlich bekannt, 0-Day-Lücken sind diesmal nicht dabei. Spärliche Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates . Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf. Browser Für den Internet Explorer 11 liefert Microsoft diesmal wieder Updates (KB5003165), die eine Sicherheitslücke (CVE-2021-26419) schließen. Sie gilt als kritisch und kann sowohl mit einer vorbereiteten Web-Seite als auch mit einem präparierten ActiveX-Steuerelement in Office-Dokumenten ausgenutzt werden. Im Erfolgsfall könnte ein Angreifer beliebigen Code einschleusen und mit Benutzerrechten ausführen. Der alte Edge-Browser (EdgeHTML-basiert) hat ausgedient und wird nicht mehr unterstützt. Die Updates für Edge (Chromium-basiert) liefert Microsoft unabhängig vom Update-Dienstag aus. Aktuell ist die Version 90.0.818.56 vom 6. Mai, die noch nicht auf dem neuesten Chromium-Stand (90.0.4430.212) ist. Office In seinen Office-Produkten hat Microsoft in diesem Monat 17 Schwachstellen beseitigt. Microsoft weist keine dieser Schwachstellen als kritisch aus, vielmehr sind alle als hohes Risiko eingestuft. Neun Lücken, zwei davon in Sharepoint, sind jedoch geeignet, um mit präparierten Office-Dokumenten Code einzuschleusen und auszuführen. Microsoft weist solche Schwachstellen in aller Regel nicht als kritisch aus, da ein Benutzer ein solches Dokument zunächst öffnen muss, damit Schadcode wirken kann. Windows Der überwiegende Teil der Schwachstellen (26) verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen. Microsoft stuft zwei Windows-Lücken als kritisch ein. Eine (CVE-2021-31194) steckt in der OLE-Automatisierung und könnte über einen Browser ausgenutzt werden, um Code einzuschleusen und auszuführen. Betroffen sind alle Windows-Versionen ab 7 und Server 2008. Die zweite kritische Schwachstelle (CVE-2021-31166) lauert im HTTP-Protokollstack, betrifft jedoch nur Systeme mit Windows 10 und den entsprechenden Server-Editionen, soweit sie als Web-Server eingerichtet sind. Ein Angreifer, der ein speziell präpariertes HTTP-Paket sendet, könnte Code einschleusen mit Kernel-Rechten ausführen. Das macht diese Lücke Wurm-tauglich („wormable“), wie Microsoft selbst einräumt. Hyper-V In Microsofts Virtualisierungslösung Hyper-V steckt mit (CVE-2021-28476) diejenige Schwachstelle mit dem höchsten CVSS-Score in diesem Monat: 9.9. Exploit-Code in der virtuellen Maschine könnte den Kernel des Hostsystems veranlassen, eine ungültige Speicheradresse auszulesen. Allerdings geht Microsoft davon aus, dass Angreifer diese Lücke eher für DoS-Angriffe nutzen werden. Exchange Server Der Nachschub mit neuen Exchange-Lücken geht so schnell nicht aus, dafür hat auch der Hacker-Wettbewerb Pwn2Own Anfang April gesorgt. Vier dieser Lücken schließt Microsoft nun, das sind jedoch noch nicht alle. Betroffen sind Exchange Server 2013, 2016 und 2019. Visual Studio Code In dem Entwickler-Tool Visual Studio Code hat Microsoft vier Schwachstellen beseitigt, die alle geeignet sind, um Code einzuschleusen und auszuführen. Dazu muss ein Benutzer eine präparierte Datei öffnen, weshalb die Lücken für Microsoft nicht als kritisch gelten – siehe Office . Extended Security Updates (ESU) Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 12 Lücken schließen. Darunter sind auch die drei oben genannten, als kritisch ausgewiesenen Schwachstellen, die nicht nur Windows 10 betreffen. Auch im Mai gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software . Der nächste turnusmäßige Patch Day ist am 8. Juni.