In dieser Woche war wieder Flick-und Putztag bei Microsoft. Zu seinem Mai-Patchday hat Microsoft am Dienstag dieser Woche insgesamt 79 Sicherheitsupdates herausgegeben, die unter anderem Sicherheitslücken in Internet Explorer, Edge, Office, Visual Studio, SQL Server, Azure und .NET Framework abdichten. 22 dieser Schwachstellen hat der Hersteller als „kritisch“ eingestuft.

Darunter ist auch eine Zero-Day-Lücke in Windows, die zurzeit schon aktiv für Angriffe benutzt wird. Sie erlaubt es potentiellen Angreifern, über ein einfaches Benutzerkonto Schadsoftware mit Administratorrechten laufen zu lassen.

Eine Lücke in der Fehlerberichterstattung

Diese Anfälligkeit CVE-2019-0863 steckt in der Komponente Windows Fehlerberichterstattung, die offenbar mit einigen Dateien nicht sauber umgeht. Nähere Details dazu veröffentlicht Microsoft zum Schutz bisher ungepatchter Systeme aber jetzt noch nicht. Von dieser Schwachstelle sind Windows 10, 8.1, 7, Server 2008, 2012 und 2016 und auch die Server-Versionen 1803 und 1903 betroffen .

Eine Lücke im Remote Desktop

Besonders schwerwiegend nennt Microsoft auch die Schwachstelle CVE-2019-0708. Die Lücke in den Remotedesktopdiensten erlaubt es eventuellen Angreifern, ohne Interaktion mit einem Nutzer „wurmartige“ Schadsoftware in solche Systeme einzuschleusen. Das gefährdet Systeme mit Windows 7, Server 2008 und Server 2008 R2. Wegen der besonders hohen Schwereeinstufung stellt Microsoft den Patch für diese Lücke sogar für die schon abgekündigten Betriebssysteme Windows XP und Server 2003 bereit.