Beim ersten Patch Day in diesem Jahr hat Microsoft zahlreiche Sicherheits-Updates veröffentlicht, die 49 Sicherheitslücken schließen. Darunter sind sieben, die Microsoft als kritisch einstuft. Sie betreffen Windows und den Browser Edge. Zwei dieser Schwachstellen betreffen Hyper-V. Weitere 39 Lücken stuft Microsoft als hohes Risiko ein, darunter 11 in der Jet-Datenbank-Engine sowie neun in Office. Details zu allen Lücken bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI oder Cisco Talos das Thema auf.

Internet Explorer (IE)
Das neue kumulative Sicherheits-Update (4480965) für den Internet Explorer 9 bis 11 beseitigt im Januar nur eine Schwachstelle (CVE-2019-0541) in der Browser-Altlast. Sie ist als wichtig eingestuft, die zweithöchste Stufe. Sie kann es einem Angreifer ermöglichen Code einzuschleusen und mit Benutzerrechten auszuführen. Die Lücke betrifft auch Office.

Edge
Im Browser Edge hat Microsoft im Januar fünf Lücken gestopft, von denen das Unternehmen vier als kritisch einstuft. Die Scripting Engine „Chakra“ ist diesmal in drei Fällen die Fehlerquelle. Chakra und Edge behandeln Speicherobjekte nicht korrekt und ermöglichen es so einem Angreifer Code einzuschleusen und mit Benutzerrechten auszuführen. In einem Fall kann sich ein Angreifer höhere Berechtigungen verschaffen.

Office
Für die Office-Familie hält Microsoft im November Updates gegen zehn Sicherheitslücken bereit. Microsoft stuft neun als wichtig ein. Zwei dieser Lücken sind geeignet, um mittels präparierter Dateien beliebigen Code einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen. Eine dieser Lücken (CVE-2019-0585) steckt in Word, die andere (CVE-2019-0541) betrifft Office-Dokumente mit eingebetteten IE-Objekten.

Windows
Ein großer Teil der Schwachstellen verteilt sich über die verschiedenen Windows-Versionen, für die Microsoft noch Sicherheits-Updates anbietet. So bricht etwa für Windows 7 das letzte Jahr an, in dem Microsoft noch kostenlos Sicherheits-Updates liefert – nach dem Update-Dienstag im Januar 2020 ist damit Schluss. Für Windows 8.1 beginnt jetzt hingegen die zweite Phase, der so genannte „erweiterte Support“ („extended support“). Anders als der Name suggerieren mag, gibt es aber nicht mehr, sondern weniger Support. Microsoft stellt in den kommenden fünf Jahren nur noch Sicherheits-Updates bereit. In den Community-Foren beantworten Microsoft-Mitarbeiter noch Fragen zu Windows 8.1 – zu Windows 7 schon seit einem halben Jahr nicht mehr .

Im DHCP-Client von Windows 10 (Version 1803) und Windows Server (1803) hat Microsoft eine Schwachstelle beseitigt, die als kritisch gilt. Mit speziell präparierten DHCP-Antworten kann ein Angreifer auf dem Client-Rechner eingeschleusten Code ausführen. Trend Micros Dustin Childs schätzt diese Lücke als Wurm-tauglich ein. Das bedeutet, Malware könnte sich im Netzwerk von PC zu PC vorarbeiten, indem sie bereits befallene Rechner als DHCP-Server ausgibt.

Hyper-V
Die in Windows 10 und den verwandten Server-Ausgaben enthaltene Virtualisierungslösung Hyper-V weist zwei als kritisch eingestufte Sicherheitslücken auf (CVE-2019-0550, CVE-2019-0551). Gelingt es einem Angreifer in der virtuellen Maschine (VM) ein speziell präpariertes Programm zu starten, kann dieses aus dem Gastsystem ausbrechen und Code auf dem Host-System ausführen. Erst kürzlich hat Microsoft einem Forscher des 360 IceSword Lab des chinesischen Unternehmens 360 Technology eine Prämie von 200.000 US-Dollar für die Entdeckung einer solchen Lücke zuerkannt. Bislang ist jedoch unklar, ob es sich um eine der beiden nunmehr beseitigten Schwachstellen handelt.

Jet-Datenbank-Engine
In der in allen Windows-Versionen enthaltenen Jet-Datenbank-Engine hat Microsoft 11 Sicherheitslücken geschlossen. Alle eignen sich, um Code einzuschleusen und auszuführen, sind jedoch nur als wichtig eingestuft. Eine der Schwachstellen (CVE-2019-0579) war bereits vorab öffentlich bekannt.

Exchange
In Exchange Server 2016 und 2019 hat Microsoft eine Schwachstelle (CVE-2019-0586) beseitigt, die ein Angreifer mittels einer präparierten Mail ausnutzen könnte, um Code einzuschleusen und im Kontext des Systembenutzers ausführen. In Exchange Server 2010 bis 2019 schließen Updates eine Lücke in der Exchange PowerShell-API (CVE-2019-0588), die zur Offenlegung von Informationen im Kalender führen kann.

Flash Player
Adobes Update für den Flash Player, das Microsoft durchreicht, beseitigt keine Schwachstellen, sondern nur Bugs.

Schließlich gibt es, wie in jedem Monat, auch im Januar das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 12. Februar 2019.