Wie üblich hat Microsoft am zweiten Dienstag des Monats die Patches (Flicken) zum Abdichten seiner Softwareprodukte zum Download bereitgestellt.
Im April werden über 60 Schwachstellen in Azure, Edge, Hyper-V, Internet Explorer, Office, Scripting Engine und Windows geschlossen, von denen 25 mit dem Bedrohungsgrad “kritisch” daherkommen. Die meisten der übrigen Sicherheitslücken wurden als “wichtig” eingestuft.
Als kritischste Schwachstellen nennt Microsoft diverse Lücken in der Chakra Scripting Engine, die ja unter anderem auch mit Microsofts Browser Edge zusammenarbeitet. Hier soll für einen erfolgreichen Angriff schon der Aufruf einer präparierten Webseite ausreichen, warnt Microsoft.
Nach erfolgreicher Attacke sollen die Angreifer dieselben Nutzerrechte wie das Opfer haben und damit dann Schadcode ausführen können. Wenn das Opfer also Admin-Rechte hat, wird der Computer durch diesem Angriff kompromittiert. Auch der ältere Microsoft-Browser Internet Explorer ist für ähnliche Angriff anfällig.
Zusätzlich verteilt Microsoft auch ein Hardware-Sicherheitsupdate für das Wireless Keyboard 850. Es ist zwar recht aufwändig, soll aber Angreifern damit möglich sein, einen AES-Schlüssel zu extrahieren und erneut verwenden zu können. Damit können sie dann letztlich die Tastatureingaben nicht nur mitschneiden sondern sogar auch manipulieren können.
Wie üblich gibt Microsoft Informationen über alle gepatchten Sicherheitslücken im Security Update Guide bekannt. Leider ist diese Auflistung in der Regel recht unübersichtlich, deshalb sei der Hinweis auf besser aufbereitete Listen im Internet wie zum Beispiel im Patchday-Blog-Artikel von Cisco Talos gestattet.