Doppel-Patchday: Microsoft veröffentlicht 18 Sicherheitsupdates

Microsoft hat wie erwartet nicht nur die Updates des März-Patchdays freigegeben, sondern auch den vor vier Wochen abgesagten Februar-Patchday nachgeholt. Dadurch stehen seit gestern Abend insgesamt 18 Updates zum Download bereit, von denen 9 als kritisch eingestufte Anfälligkeiten beseitigen. Darunter sind Fehler in den Browsern Internet Explorer und Edge, Windows Hyper-V und der Windows-PDF-Bibliothek.

Ein kumulatives Sicherheitsupdate für Internet Explorer schließt 12 Lücken in den Versionen 9, 10 und 11. Das Anzeigen speziell gestalteter Websites im Microsoft-Browser kann das Einschleusen und Ausführen von Schadcode ermöglichen. Dem Sicherheitsbulletin MS17-006 zufolge könnte ein Angreifer sogar die vollständige Kontrolle über ein betroffenes System übernehmen. Das gilt auch für 32 Anfälligkeiten in Edge.

Im Hypervisor Hyper-V stecken vier Schwachstellen, die es dem Nutzer eines virtualisierten Gastbetriebssystems unter Umständen erlauben, beliebigen Code auf dem Host-Betriebssystem auszuführen. Davon betroffen sind Windows Vista, Server 2008, 7, 2008 R2, 8.1, Server 2012 und 2012 R2, 10 und Server 2016.

Eine kritische Remotecodeausführung hält Microsoft zudem bei Schwachstellen in der Windows-PDF-Bibliothek, in Windows SMB-Server, Microsoft Uniscribe, der Microsoft-Grafikkomponente und dem in Internet Explorer 11 und Edge integrierten Flash-Plug-in für wahrscheinlich. Damit sollten nun Patches für alle zuletzt bekannt gewordenen Zero-Day-Lücken vorliegen, die unter anderem Google-Forscher öffentlich gemacht hatten.

Weitere Fixes verteilt Microsoft für sicherheitsrelevante Fehler in allen unterstützten Versionen der Office-Anwendungen Excel und Word. Sie stecken auch in den Office-Paketen für Windows und Mac OS X. Darüber hinaus sind Exchange Server 2013 und 2016, Windows IIS, der Windows-Kernel, die Windows Kernelmodustreiber, die Active-Directory-Verbunddienste, Windows DVD Maker, DirectShow und Microsoft XML Core Services angreifbar. Diese Bugs könnten zur Offenlegung von Informationen oder einer nicht autorisierten Ausweitung von Nutzerrechten führen.

Für Windows 10 steht das Build 14393.953 zur Verfügung. Es enthält einen ersten Hinweis auf das bevorstehende Creators Update. In den Einstellungen für Windows Update werden Nutzer ab sofort aufgefordert, sich über das Funktions-Update zu informieren. Das Ende vergangener Woche veröffentlichte Testbuild 15055 legt zudem die Vermutung nahe, dass die Final noch im März oder spätestens Anfang April ausgeliefert wird: Das Build 15055 hebt die Versionsnummer von Windows 10 von 1607 (Anniversary Update) auf 1703 an. Das Kürzel steht stets für das Jahr und den Monat, in dem Microsoft das jeweilige Update fertigstellt beziehungsweise veröffentlicht.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.