Microsoft lässt das Jahr mit Updates ausklingen, die teils kritische Lücken in diversen Windows-Komponenten, Visual Studio und weiterer Software schließen.

Zum Patch Tuesday im Dezember hat Microsoft Updates veröffentlicht, die insgesamt 36 Sicherheitslücken schließen. Sieben von ihnen gelten als kritisch – davon stecken fünf in der Visual-Studio-eigenen Variante der Versionsverwaltungssoftware Git und je eine weitere in Win32k Graphics sowie in der Virtualisierungslösung Hyper-V.

Mit Ausnahme einer „Medium“-Lücke (ebenfalls in Git) hat Microsoft die übrigen Lücken als „Important“ eingestuft. Sie betreffen unter anderem das Graphics Device Interface (GDI) von Windows, das Remote Desktop Protocol (RDP), den Betriebssystemkernel, den Windows Defender sowie diverse weitere Software (Access, Excel, Media Player, PowerPoint, Skype for Business, SQL Server). Eine der Lücken wird laut Microsoft derzeit aktiv von Angreifern ausgenutzt.

Nutzer sollten sicherstellen, dass die für ihr Betriebssystem beziehungsweise die von ihnen verwendete Software verfügbaren Aktualisierungen installiert werden.

Unter den 28 Sicherheitslücken mit „Important“-Einstufung befindet sich eine, die derzeit aktiv von Angreifern ausgenutzt wird. Entdeckt und gemeldet wurde sie vom Sicherheitssoftware-Hersteller Kaspersky. In einem Blogeintrag beschreibt Kaspersky, wie die Forscher im November dieses Jahres einen 0-Day-Exploit in freier Wildbahn entdeckten, der auf der betreffenden Lücke basiert. Sie steckt im Treiber win32k.sys und betrifft mehrere Win-Client- und Server-Versionen.

Neben Angaben zu verwundbaren Windows-Versionen und Updates ist Microsofts Beschreibung zu CVE-2019-1458 zu entnehmen, dass Angreifer die Lücke zur Erweiterung ihrer Rechte missbrauchen könnten. Um letztlich beliebigen Code im Kernel-Mode auszuführen und die vollständige Kontrolle über das System zu übernehmen, müssten sie sich zunächst erfolgreich am System anmelden und anschließend eine Schadcode-Anwendung starten.