Microsoft schließt im März 45 Sicherheitslücken in Windows, Internet Explorer, Microsoft Office und Exchange. Auch der Freak-Bug soll behoben sein, durch den Angreifer Zugangsdaten abgreifen konnten.
Microsoft schließt am März-Patchday ganze 45 Sicherheitslücken. Diese betreffen Windows, den Internet Explorer sowie Microsoft Office und Exchange. Auch soll der
Freak-Bug behoben sein, über den Cyberkriminelle durch Man-in-the-Middle-Attacken Webseiten manipulieren oder Zugangsdaten abfangen konnten.
Von den übergeordneten 14 Bulletins sind fünf als kritisch eingestuft. Darunter ist ein Fehler im VBScript-Skriptmodul von Windows angegeben, das Angreifern die Ausführung von Remote-Code erlaubt, wenn ein Nutzer eine speziell gestaltete Webseite aufruft, eine manipulierte Datei öffnet oder ein Arbeitsverzeichnis öffnet, in dem eine korrupte DLL-Datei abgelegt wurde.
Laut Microsoft können Angreifer durch die Sicherheitslücken "vollständige Kontrolle über ein betroffenes System erlangen (...), Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen."
Ähnliches gilt für die schwere Schwachstelle in Microsoft Office beziehungsweise dem Internet Explorer: Sie erlaubt ebenfalls die Ausführung von Schadcode per Fernzugriff, sofern eine korrupte Office-Datei beziehungsweise eine speziell Webseite mit dem Microsoft Browser geöffnet wird.
In Microsoft Exchange Server kann eine Lücke zur Erhöhung von Berechtigungen führen, "wenn ein Benutzer auf eine speziell gestaltete URL klickt, die den Benutzer zu einer betroffenen Outlook Web App-Website führt." Dies kann etwa durch Klicken auf einen Link in einer Instant Messenger-Nachricht oder E-Mail-Nachricht erfolgen.
Des Weiteren behebt der März-Patchday unter anderem Sicherheitslücken im Windows NETLOGON-Dienst, im Taskplaner und im Remote-Desktop-Protokoll.