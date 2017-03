Im März holt Microsoft den aus unbekannten Gründen verschobenen Patchday aus dem Februar nach, stellt zudem die Patches für den aktuellen Monat bereit und schließt insgesamt 140 Sicherheitslücken.

Mit achtzehn Patches schließt Microsoft 140 Sicherheitslücken in Edge, Exchange Server, Internet Explorer, Office, Silverlight und diversen Windows-Versionen (Client und Server). Jeweils neun Sicherheitsptaches stuft der Konzern mit dem Schweregrad "kritisch" und "hoch" ein – Windows Nutzer sollten diese zügig installieren.



In vielen Fällen können Angreifer ohne Authentifizierung und mit vergleichsweise wenig Aufwand Schadcode auf gefährdete Computer schieben und ausführen. In einem derartigen Fall sind Geräte in der Regel kompromittiert.



Hat es ein Angreifer etwa auf die Lücken in den Webbrowsern Edge und Internet Explorer abgesehen, muss er sein Opfer für einen erfolgreichen Übergriff lediglich auf eine präparierte Webseite locken. In anderen Fällen reicht das Öffnen eines manipulierten Office- oder PDF-Dokumentes aus. Nutzt ein Angreifer die mit dem Schwergrad "hoch" eingestuften Lücken aus, kann er sich höhere Rechte erschleichen oder Informationen abziehen, erläutert Microsoft.



Kritische Lücken einen Monat lang offen



Im Februar ließ Microsoft den Patchday aus unbekannten Gründen ausfallen und verschob die Veröffentlichung der für diesen Monat geplanten Sicherheitsupdates in den März. Einzig Adobes Flash Player für Edge und Internet Explorer wurde im Februar mit einem Sicherheitsupdate versorgt. Windows-Computer mussten demzufolge einen Monat ohne Sicherheitsupdates auskommen.



Das prekäre dabei: Zu diesem Zeitpunkt war bereits eine Zero-Day-SMB-Lücke bekannt, die Microsoft, wie erst jetzt kommuniziert, als kritisch einstuft. Zwischenzeitlich waren sich Sicherheitsforscher uneinig, ob Angreifer die Schwachstelle für das Einschleusen von Schadcode missbrauchen können: Dies hat Microsoft nun bestätigt.



Googles Security-Einheit Project Zero förderte in der Zwischenzeit zwei weitere, mittlerweile als kritisch bewertete Schwachstellen zutage. Alle bereits im Februar bekannten Lücken hat Microsoft nun geschlossen. Die Webbrowser Edge und Internet Explorer 11 für Windows 8.1 und Windows 10 bekommen das Flash-Update für diesen Monat wie gewohnt automatisch serviert.

MS17-006 Kumulatives Sicherheitsupdate für Internet Explorer (4013073) Kritisch

MS17-007 Kumulatives Sicherheitsupdate für Microsoft Edge (4013071) Kritisch

MS17-008 Sicherheitsupdate für Windows Hyper-V (4013082) Kritisch

MS17-009 Sicherheitsupdate für Microsoft Windows-PDF-Bibliothek (4010319) Kritisch

MS17-010 Sicherheitsupdate für Microsoft Windows SMB-Server (4013389) Kritisc h

MS17-011 Sicherheitsupdate für Microsoft Uniscribe (4013076) Kritisch

MS17-012 Sicherheitsupdate für Microsoft Windows (4013078) Kritisch

MS17-013 Sicherheitsupdate für Microsoft-Grafikkomponente (4013075) Kritisch

MS17-023 Sicherheitsupdate für Adobe Flash Player (4014329) Kritisch

MS17-014 Sicherheitsupdate für Microsoft Office (4013241) Hoch

MS17-015 Sicherheitsupdate für Microsoft Exchange Server (4013242) Hoch

MS17-016 Sicherheitsupdate für Windows IIS (4013074) Hoch

MS17-017 Sicherheitsupdate für Windows Kernel (4013081) Hoch

MS17-018 Sicherheitsupdate für Windows-Kernelmodustreiber (4013083) Hoch

MS17-019 Sicherheitsupdate für Active Directory-Verbunddienste (4010320) Hoch

MS17-020 Sicherheitsupdate für Windows DVD Maker (3208223) Hoch

MS17-021 Sicherheitsupdate für Windows DirectShow (4010318) Hoch

MS17-022 Sicherheitsupdate für Microsoft XML Core Services (4010321) Hoch

Auch Adobe veröffentlichte Patches: