Microsoft schließt im April 149 Sicherheitslücken. Drei Anfälligkeiten stuft das Unternehmen als kritisch ein, weil sie eine Remotecodeausführung erlauben. Die Zero Day Initiative weist zudem darauf hin, dass eine von ihr gemeldete und gepatchte Schwachstelle bereits öffentlich bekannt ist. Ihr zufolge gibt es zudem Hinweise darauf, dass der Fehler bereits von Hackern aktiv ausgenutzt wird.
Dabei handelt es sich um die Schwachstelle mit der Kennung CVE-2024-29988, die vom ZDI Threat Hunter Peter Girnus entdeckt wurde. Laut Microsoft erlaubt die SmartScreen-Eingabeaufforderung eine Umgehung der Sicherheitsfunktion. Bewertet ist der Bug mit 8,8 von zehn möglichen Punkten im Common Vulnerability Scoring System (CVSS).
„Um dieses Sicherheitsrisiko auszunutzen, müssen Angreifende Benutzende dazu bringen, bösartige Dateien über eine Startanwendung zu starten, die keine Benutzeroberfläche anzeigt“, schreibt Microsoft in seiner Sicherheitswarnung. Ein Angriff sei über Chat- und E-Mail-Nachrichten mit speziell gestalteten Links möglich. Betroffen sind alle unterstützten Versionen von Windows 10 und Windows 11 sowie Windows Server 2019 und 2022.
Die drei kritischen Sicherheitslücken stopft Microsoft in Defender for IoT. Angreifer können unter Umständen aus der Ferne Schadcode einschleusen und ausführen. Darüber hinaus sind Windows-Komponenten und Microsoft Anwendungen wie Bitlocker, Outlook, Remoteprozeduraufruf, Kernel, .NET und Visual Studio, Routing- und RAS-Dienst, Windows Sicherer Start, DHCP-Server, DNS-Server, Kryptografiedienste, Windows Update Stack, SharePoint, Excel, SQL Server und Edge angreifbar.
Laut ZDI ist der April-Patchday nicht nur der umfangreichste Patchday des Jahres 2024, sondern mindestens auch der größte Patchday seit 2017. „Soweit ich weiß, ist es der größte Patch-Dienstag von Microsoft aller Zeiten“, schreibt Dustin Childs von der Zero Day Initiative in einem Blogeintrag. „Es ist nicht klar, ob dies auf einen Rückstand aus den ruhigeren Monaten oder auf eine Zunahme der Meldungen von Sicherheitslücken zurückzuführen ist. Es wird interessant sein zu sehen, welcher Trend sich fortsetzt.“
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…