Microsoft schließt zum Patch Tuesday 113 Schwachstellen und CVEs, von denen 19 als kritisch eingestuft werden. Oracle nutzt den Patch Tuesday im April für sein vierteljährliches Critical Patch Update.

Der Frühling ist traditionell die Zeit des Großreinemachens und ganz offensichtlich hat diese Stimmung auch Redmond erfasst. Die Updates zum Patch Tuesday im April umfassen drei Zero-Day-Schwachstellen und zwei allgemeine Veröffentlichungen. Alle drei Zero-Day- Schwachstellen betreffen die Versionen Windows 7, Server 2008 und Server 2008 R2. Laufen bei Ihnen immer noch diese Versionen des Windows-Betriebssystems? Dann wird es spätestens an diesem Patch Tuesday Zeit, sich mit dem Support für Extended Security Updates (ESU) zu befassen.

Insgesamt sind die Updates von Microsoft zum Patch Tuesday ein echter Rundumschlag und betreffen Windows, Internet Explorer, Edge und Edge (Chromium), Microsoft Office, SharePoint, Windows Defender, Visual Studio, Microsoft Dynamics, Microsoft Apps für Android und Mac.

Die Zero-Day-Schwachstellen verdienen am Patch Tuesday im April eine besondere Betrachtung:

Patch Tuesday im April schließt kritische CVEs in Adobe Font Manager Library

Microsoft schließt zum Patch Tuesday zwei kritische Sicherheitslücken (CVE-2020-1020 und CVE-2020-0938) in der Adobe Font Manager Library, die bereits aktiv ausgenutzt werden. CVE-2020-1020 wurde ebenfalls bereits öffentlich gemacht, was die Wahrscheinlichkeit von Angriffen deutlich erhöht. Die Schwachstelle ermöglicht es, Code per Fernzugriff auszuführen und Programme zu installieren, Daten anzuzeigen, zu ändern oder zu löschen sowie neue Konten mit vollen Administratorrechten zu erstellen. Angriffe über diese CVE laufen über den Nutzer, etwa über ein imitiertes Dokument zur Dateneingabe, und können über das Windows Vorschaufenster ausgenutzt werden.

Patch Tuesday April bringt Update für Windows Kernel

Microsoft hat den Patch Tuesday im April außerdem dazu genutzt, eine wichtige Sicherheitslücke im Windows-Kernel (CVE-2020-1027) zu beheben, über die sich Privilegien erhalten lassen. Sie nutzt dabei die Art und Weise aus, wie der Windows-Kernel mit Objekten im Arbeitsspeicher umgeht. Die CVE erlaubt dabei, die Berechtigungen dieser Objekte zu erhöhen und die Kontrolle über das betroffene System zu übernehmen. Angreifer benötigen dazu eine lokale Authentifizierung, um eine speziell gestaltete Anwendung auszuführen.

Patch Tuesday Update für Microsoft OneDrive

Ebenfalls betroffen ist an diesem Patch Tuesday der Filehosting-Dienst OneDrive. Die behobene CVE-2020-0935 ist ebenfalls bereits öffentlich und auch hier geht es im Kern um die Ausführung einer gefälschten Anwendung, um die Kontrolle zu übernehmen. Die Update-Funktion von OneDrive überprüft und aktualisiert die OneDrive-Binärdatei regelmäßig, so dass die meisten Kunden bereits vor dieser Schwachstelle geschützt sind.

Oracle veröffentlicht am Patch Tuesday vierteljährliches Critical Patch Update

Oracle nutzt den Patch Tuesday im April zur Veröffentlichung seines vierteljährlichen Critical Patch Updates (CPU). Diese CPU behebt 405 neue Sicherheitslücken in mehreren Produkten einschließlich Java SE.

Ivanti empfiehlt IT-Teams in diesen Monat, sich auf das Windows-Betriebssystem und Browser-Updates sowie Oracle Java als oberste Priorität konzentrieren.