April-Patchday: Microsoft schließt drei Zero-Day-Lücken

Microsoft hat zahlreiche Sicherheitsupdates für seine Produkte veröffentlicht, die insgesamt 113 Schwachstellen beseitigen sollen. Darunter sich auch drei Zero-Day-Lücken, die nach Angaben des Unternehmens bereits aktiv von Cyberkriminellen ausgenutzt werden. Ein Bug in der Adobe Type Manager Library ist bereits seit rund drei Wochen bekannt.

Dabei handelt es sich um die Anfälligkeit mit der Kennung CVE-2020-1020, die unter Windows 7, 8.1, Server 2008, 2008 R2, 2012, 2012 R2 als kritisch eingestuft ist. Ein Angreifer kann unter Umständen Schadcode einschleusen und ausführen. Betroffen sind auch Windows 10, Server 2016, Server 2019 und Server Version 1803, 1903 und 1909.

Die zweite Zero-Day-Lücke steckt ebenfalls die Adobe Type Manager Library – sie machte Microsoft allerdings erst heute öffentlich. Das Unternehmen betont jedoch, dass die für CVE-2020-1020 beschriebenen Behelfslösungen auch Angriffe auf die Schwachstelle abgewehrt haben.

Aktive Angriffe registrierte Microsoft außerdem auf einen Bug im Windows Kernel. Er soll eine nicht autorisierte Ausweitung von Nutzerrechten ermöglichen, um Code mit Kernelrechten auszuführen. Alle drei Zero-Day-Lücken wurden laut Microsoft von Mitarbeitern von Googles Project Zero beziehungsweise der Threat Analysis Group entdeckt.

Darüber hinaus bringt der April-Patchday Fixes für Schwachstellen in Windows, beide Versionen des Browsers Edge, Internet Explorer, Chakra Core, Office sowie die Office-Dienste und Web Apps, Windows Defender, Visual Studio und Dynamics. Außerdem stopft Microsoft Löcher in seinen Apps für Android und macOS.

Eine Änderung ergibt sich zudem für Nutzer von Windows 10 Version 1809. Nutzer des im Herbst 2018 veröffentlichten Updates erhalten aufgrund der COVID-19-Pandemie länger Support als bisher vorgesehen. Die letzten Sicherheitsupdates für Windows 10 1809 Home, Pro, Pro Education, Pro for Workstation, und IoT Core sollen nun am 10. November 2020 erscheinen. Ursprünglich sollten die letzten Patches im Mai veröffentlicht werden.

Auch das Support-Ende für Windows Server Version 1809 (Datacenter und Standard) verschiebt sich auf November 2020. Darüber hinaus setzt Microsoft vorübergehend die automatische Auslieferung aktueller Funktions-Updates für Windows 10 Version 1809 aus.

Neben Windows erhalten auch weitere Produkte länger Updates als geplant. Configuration Manager 1810 soll nun bis 1. Dezember 2020 unterstützt werden, SharePoint Server 2010, SharePoint Foundation 2010 und Project Server 2010 wird Microsoft nun bis 13. April 2021 absichern und den Legacy Web Client von Dynamics 365 Customer Engagement bis Dezember 2020.