Kritische Sicherheitsupdates für Windows und Co.

Microsoft hat am April-Patchday insgesamt 11 Updates veröffentlicht, von denen der Konzern 4 als kritisch und 7 als hoch eingestuft hat. Sie beheben insgesamt 26 Schwachstellen unter anderem in Windows, Microsoft Office, dem System-Treiber HTTP.sys und dem Internet Explorer. Betroffen sind die Betriebssysteme Windows Vista, Windows 7, 8 und 8.1 inklusive der RT-Versionen sowie Windows Server 2003, 2008 (R2) und 2012 (R2) und die Windows Technical Preview.

Ein kritischer Bug betrifft die Gaphics-Komponente in Windows. Angreifer können über sie schadhaften Code aus der Ferne ausführen, wenn Nutzer eine manipulierte Webseite besuchen und eine spezielle Datei öffnen. Der Angriff erfolgt laut Microsoft normalerweise über einen E-Mail- oder Messenger-Link. Des Weiteren kann laut Microsoft-Bulletin Schadcode über den System-Treiber HTTP.sys mittels spezieller HTTP-Anforderung ausgeführt werden.

Von potentieller Remotecode-Ausführung ist auch Microsoft Office und der Internet Explorer betroffen: In Office kann die Schwachstelle durch eine speziell vorbereitete Office-Datei ausgenutzt werden, um beliebigen Code im "Kontext des aktuellen Benutzers auszuführen". Besonders bedenklich ist das bei System-Konten mit Administratorrechten. Beim Internet Explorer funktioniert das auf ähnliche Weise über eine speziell gestaltete Webseite. Eine erfolgreiche Attacke sichert Cyberkriminellen die  Benutzerrechte des angemeldeten Nutzers.

Des Weiteren beheben die Updates Fehler in Microsoft SharePoint, der Windows-Aufgabenplanung, dem Verzeichnisdienst Active Directory und dem .NET Framework, wodurch Angreifer Berechtigungen erhöhen oder Informationen offenlegen können. In Windows Hyper-V soll zudem eine Denial-of-Service-Attacke möglich sein.