Microsoft hat im Rahmen des Mai-Patchdays 40 Sicherheitslöcher und Windows und Anwendungen wie Office und Edge gestopft. Darunter sind sieben als kritisch eingestufte Schwachstellen sowie drei Zero-Day-Lücken, von denen eine bereits von Hackern für zielgerichtete Attacken eingesetzt wird.
Dabei handelt es sich um eine Anfälligkeit in der Windows-Komponente Win32k, die eine nicht autorisierte Ausweitung von Benutzerrechten ermöglicht. Entdeckt wurde sie vom Sicherheitsanbieter Avast. Wahrscheinlich wurde der Bug bereits von Cyberkriminellen mit einer weitere Schwachstelle kombiniert, um Malware einzuschleusen. Betroffen sind Windows 10 und Windows Server 2008, 2012 und 2016.
Öffentlich bekannt, ohne bisher ausgenutzt zu werden, ist indes ein Fehler in Windows OLE. Davon betroffen sind in erster Linie Nutzer von Microsoft Outlook. Ein Angreifer kann die Lücke ausnutzen, indem er eine speziell gestaltete E-Mail im RTF-Format verschickt. Als Angriffsvektor dient laut Zero Day Initiative der Vorschaubereich von Outlook. Ein Opfer muss die Nachricht also weder öffnen noch lesen, damit ein Angreifer Schadcode einschleusen und ausführen kann.
Den höchsten Schweregrad (CVSS: 9,8) vergibt Microsoft im Mai an eine Anfälligkeit im Windows-Netzwerkdateisystem. Auch hier wird eine Remotecodeausführung ermöglicht. Auch hier ist laut Zero Day Initiative keine Interaktion mit einem Benutzer erforderlich. Betroffen ist lediglich die Version NFS 4.1, nicht aber die älteren Versionen 2.0 und 3.0.
Weitere Schwachstellen stecken in Anwendungen wie Teams, SharePoint, Excel, Access, Word, Visual Studio Code und Edge. Außerdem sind die Windows-Komponenten Medienbibliothek, MSHTML, RDP-Client, Kernel, Bluetooth-Treiber, Sicherer Start, Installer, Remotedesktopclient und SMB angreifbar.
Für Windows 10 und Windows 11 stehen neue kumulative Updates zur Verfügung, die auch nicht sicherheitsrelevante Korrekturen enthalten. Die Verteilung der Patches erfolgt über Windows Update, die Windows Server Update Services (WSUS) und den Microsoft Update-Katalog.
Das Datenleck betrifft den Kreditvergleich. Unbefugte haben zwischenzeitlich Zugriff auf die Kreditvergleiche anderer Kunden.
Copilot wird stärker in Microsoft 365 integriert. Neue Funktionen stehen unter anderem für Excel, Outlook,…
Schwachstelle weist laut Tenable auf schwerwiegende Sicherheitslücke in Google Cloud Diensten hin, insbesondere App Engine,…
Die neue Version kommt mit einem Supportzeitraum von fünf Jahren. Währenddessen erhält Office LTSC 2024…
Sie führen unter Umständen zur Preisgabe vertraulicher Informationen oder gar zu einem Systemabsturz. Apples KI-Dienste…
Das Projekt liegt wahrscheinlich für rund zwei Jahre auf Eis. Aus der Fertigungssparte Intel Foundry…