Der März-Patchday behebt unter anderem drei Sicherheitsprobleme, die schon länger bekannt sind und potenziell für Attacken genutzt werden. Zwei mit Risikograd wichtig bewertete Schwachstellen finden sich im Windows Fax and Scan Service (CVE-2022-24459, CVSS Score 7.8) und im Remote Desktop Client (CVE-2022-21990, CVSS Score 8.8). Angreifer können über diese Lecks höhere Berechtigungen erlangen und bösartigen Code ausführen. Die RDP-Lücke betrifft laut dem Security Update Guide
nur den RDP-Client, und der Nutzer muss eine Verbindung zu einem RDP-Server aufbauen, damit ein Angriff erfolgen kann. Eine dritte als wichtig eingestufte Lücke (CVE-2022-24512, CVSS Score 6.3) betrifft Visual Studio und .NET in verschiedenen Versionen.
Noch risikobehafteter sind drei kritische Schwachstellen in Exchange (CVE-2022-23277, CVSS Score 8.8), in den HEVC Video Extensions (CVE-2022-22006, CVSS Score 7.8) und in den VP9 Video Extensions (CVE-2022-24501, CVSS Score 7.8). Bei der Exchange-Lücke muss der Angreifer am Exchange Server angemeldet sein, um eine Attacke zu starten. Bei den Lecks in den Video Extensions genügt es, wenn ein Nutzer eine manipulierte Videodatei öffnet. Die weiteren zum Patchday gestopften Lücken stuft
Microsoft mit Risikograd wichtig ein, sie betreffen eine Vielzahl von Microsoft-Produkten. Eine
Komplettübersicht findet sich im Security Update Guide.
(ubi)
