Microsofts Patch Tuesday-Update für den Monat März ist jetzt offiziell verfügbar. Es enthält 71 Fehlerbehebungen für Softwareprodukte wie Windows, Office, Exchange und Defender.
Von den insgesamt 71 Patches sind drei als kritisch und 68 als wichtig eingestuft. Zwar wird keine der Schwachstellen als aktiv ausgenutzt aufgeführt, aber drei von ihnen sind zum Zeitpunkt der Veröffentlichung öffentlich bekannt.
Es ist erwähnenswert, dass Microsoft Anfang dieses Monats 21 Schwachstellen im Chromium-basierten Microsoft Edge-Browser behoben hat.
Bei den drei kritischen Schwachstellen, die diesen Monat behoben wurden, handelt es sich um Schwachstellen, die Remotecodeausführung ermöglichen und HEVC Video Extensions (CVE-2022-22006), Microsoft Exchange Server (CVE-2022-23277) und VP9 Video Extensions (CVE-2022-24501) betreffen.
Die Microsoft Exchange Server-Schwachstelle, die von dem Forscher Markus Wulftange gemeldet wurde, ist auch deshalb bemerkenswert, weil der Angreifer authentifiziert sein muss, um den Server ausnutzen zu können.
„Der Angreifer könnte die Serverkonten angreifen, um beliebigen oder entfernten Code auszuführen“, so der Windows-Hersteller. „Als authentifizierter Benutzer könnte der Angreifer versuchen, über einen Netzwerkaufruf bösartigen Code im Kontext des Serverkontos auszulösen.“
„Die kritische Sicherheitslücke CVE-2022-23277 sollte ebenfalls Anlass zur Sorge geben“, so Kevin Breen, Director of Cyber Threat Research bei Immersive Labs. „Diese Schwachstelle, die zwar eine Authentifizierung erfordert, könnte bei einer seitlichen Bewegung in einen Teil der Umgebung ausgenutzt werden, was die Möglichkeit bietet, geschäftliche E-Mails zu kompromittieren oder Daten aus E-Mails zu stehlen.
Die drei von Microsoft behobenen Zero-Day-Bugs sind folgende
CVE-2022-24512 (CVSS-Score: 6.3) – .NET und Visual Studio Remote Code Execution Vulnerability
CVE-2022-21990 (CVSS score: 8.8) – Remote Desktop Client Remote Code Execution Vulnerability
CVE-2022-24459 (CVSS-Score: 7.8) – Sicherheitslücke in der Berechtigungserweiterung des Windows Fax- und Scan-Dienstes
Microsoft stufte CVE-2022-21990 außerdem als „Exploitation More Likely“ ein, da ein Proof-of-Concept (PoC) Exploit öffentlich verfügbar ist.
Weitere wichtige Fehler sind eine Reihe von Schwachstellen bei der Remotecodeausführung in Windows SMBv3 Client/Server, Microsoft Office und Paint 3D sowie Schwachstellen bei der Privilegienerweiterung in Xbox Live Auth Manager, Microsoft Defender for IoT und Azure Site Recovery.
Insgesamt schließen die Patches 29 Schwachstellen für die Ausführung von Remotecode, 25 Schwachstellen für die Erhöhung von Berechtigungen, sechs Schwachstellen für die Offenlegung von Informationen, vier Schwachstellen für Denial-of-Service, drei Schwachstellen für die Umgehung von Sicherheitsfunktionen, drei Schwachstellen für Spoofing und eine Schwachstelle für Manipulationen.
Software-Patches von anderen Anbietern
Neben Microsoft haben auch andere Hersteller Sicherheitsupdates veröffentlicht, um verschiedene Schwachstellen zu beheben, z. B.