Windows

Microsofts April-Patch Dienstag bringt keine Pwn2Own-Korrektur

Systemadministratoren und IT-Sicherheitsexperten können eine Pause einlegen: Microsoft hat für diese Ausgabe seiner monatlichen Version von Software-Schwachstellen-Fixes vergleichsweise wenige Patches veröffentlicht.

"Es ist ein langweiliger Patch Dienstag diesen Monat, und das ist eine ausgezeichnete Sache für IT-Sicherheitsteams, denn es wird keinen verrückten Hundeansturm geben, um die Patches dieses Monats zu erhalten", schrieb Andrew Storms, Direktor der Sicherheitsoperationen für Sicherheitsunternehmen nCircle, in einer E-Mail-Anweisung.

Der vielleicht überraschendste Aspekt der Patch-Ausgabe dieses Monats war eine Schwachstelle mit hohem Profil, die nicht abgedeckt wurde. Viele haben erwartet, dass Microsoft den Pwn2Own-Internet Explorer-Bug, der Anfang des Jahres bei einem Hacker-Wettbewerb entdeckt wurde, reparieren soll, aber ein solcher Fix wurde in dieser Runde nicht berücksichtigt. "Damit sind sie ein wenig hinter anderen Browsern, die bereits ihre Pwn2Own-Bugs gepatcht haben", bemerkte Storms.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Insgesamt hat Microsoft neun Bulletins veröffentlicht, die 14 Schwachstellen abdecken . Im Gegensatz dazu behob das Unternehmen im März 20 Schwachstellen und im Februar 57 Schwachstellen.

Zwei der Bulletins in der Sammlung dieses Monats wurden als kritisch eingestuft, und die restlichen sieben wurden als wichtig eingestuft. Windows-Desktop- und -Server-Editionen, Internet Explorer, Microsoft Office, Microsoft SharePoint und Windows Defender müssen alle aktualisiert werden.

Sicherheitsfirmen rieten dazu, den Internet Explorer mit den kritischen Patches zu aktualisieren, die Microsoft in diesem Monat für den Browser veröffentlicht hat. 028 Bulletin, betrifft alle unterstützten Versionen von Internet Explorer, Versionen 6 bis 10. "Angreifer untersuchen, wie diese beiden Sicherheitslücken ausgenutzt werden können, da Angreifer mehrere Versionen von Internet Explorer mit nur wenigen Sicherheitslücken anvisieren können. Daher ist es wichtig, diesen Patch so schnell wie möglich zu installieren ", schrieb Marc Maiffret, Chief Technology Officer für das Sicherheitsunternehmen BeyondTrust in seiner eigenen Analyse.

Das andere kritische Bulletin umfasste den Microsoft Remote Desktop-Client MS13-029. Diese Sicherheitsanfälligkeit existiert im ActiveX-Steuerelement des Clients und könnte Angreifern die Möglichkeit geben, beliebigen Code auf dem Computer des Benutzers auszuführen. Glücklicherweise ist diese Sicherheitslücke nicht in der neuesten Version des Microsoft Remote Desktop-Clients enthalten, was laut nCircle die Anzahl der betroffenen Computer erheblich reduziert.

Microsoft führt einen Webcast durch, um Kundenfragen zu dieser Patch-Runde zu beantworten 10. April.