[English]Zum April-Patchday (10. April 2018) hat Microsoft weitere Updates für den Internet Explorer, Windows Server, etc. freigegeben. Nachfolgend habe ich noch einige Details zu ausgewählten Patches nachgetragen, die in den restlichen, am Artikelende verlinkten, Beiträgen nicht enthalten sind.
Allgemeine Hinweise
Zum April 2018-Patchday hat Microsoft mehr als 60 Sicherheitslücken in Windows, Office und anderen Microsoft-Produkten geschlossen. 25 dieser Sicherheitslücken sind als kritisch eingestuft. Das gilt beispielsweise für diverse Sicherheitslücken in der Chakra Script-Engine, die im Edge-Browser benutzt wird. Bei dieser Sicherheitslücke reicht der Besuch einer präparierten Webseite, um das System zu kompromittieren. Das Ganze ist in CVE-2018-0994 beschrieben. Ein Kurzabriss findet sich bei heise.de.
Weitere Sicherheitslücken CVE-2018-1010, CVE-2018-1012, CVE-2018-1013, CVE-2018-1015 und CVE-2018-1016 in der Windows Grafikkomponente ermöglichen die Übernahme des Systems durch manipulierte Fonts und VBscript. Es reicht ein Besuch einer präparierten Webseite, um den Rechner zu übernehmen. The Hacker News hat hier einen separaten Beitrag zum Thema veröffentlicht.
Eine Remote Code Execution-Schwachstelle in Microsoft Office führt dazu, dass Angreifer Code mit den Rechten des betreffenden Benutzerkontos ausführen können. Bei Administratorkonten ließe sich das UAC-Bypassing nutzen, um das System zu kompromittieren. Die Sicherheitslücke CVE-2018-0950 in Microsoft Outlook ermöglicht Angreifern über einen SMB-Server auf sensitive Informationen zuzugreifen. The Hacker News hat hier einen dedizierten Artikel zum Thema veröffentlicht.
Bei Talos findet sich hier eine Übersicht zu den kritischen Sicherheitslücken. Die komplette Übersicht über alle Updates von Microsoft findet sich auf dieser Webseite. Ein Teil der dort genannten Updates ist in separaten Blog-Beiträgen beschrieben (siehe Linkliste am Artikelende).
Antivirus-Prüfung bei Windows-Updates entfernt
Ich hatte es bei Windows 7/8.1 bereits erwähnt. Mit dem April 2018-Update entfernt Microsoft generell die Prüfung auf kompatible Virenscanner über den Registrierungseintrag:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat\cadca5fe-87d3-4b96-b7fb-a231484277cc
Die ist beispielsweise bei den Updates KB4093122 und KB4093123 der Fall.
Sicherheitsupdates
Es wurden folgende Sicherheitsupdates freigegeben.
- Update KB4091756: Windows Server 2008, Windows Embedded POSReady 2009, and Windows Embedded Standard 2009
- Update KB4092946: Kumulatives Sicherheitsupdate für Internet Explorer 9 bis 11 – gilt für Windows 7 bis Windows 10 und die Server Pendants.
- Update KB4093110: Sicherheitsupdate für den Adobe Flash Player – gilt für Windows 8.x bis Windows 10 und die Server Pendants.
- Update KB4093122: Security-only update für Windows Server 2012, schließt diverse Sicherheitslücken.
- Update KB4093123: Monthly Rollup update Windows Server 2012, schließt diverse Sicherheitslücken.
- Update KB4093224: Sicherheitsupdate für CVE-2018-8116 (Microsoft graphics component denial of service vulnerability) in Windows Server 2008, Windows Embedded POSReady 2009, and Windows Embedded Standard 2009.
- Update KB4093227: Sicherheitsupdate für CVE-2018-0976 (Windows Remote Desktop Protocol (RDP) denial of service vulnerability) in Windows Server 2008.
- Update KB4093257: Sicherheitsupdate für CVE-2018-1003 und CVE-2018-1008 in Windows Server 2008, Windows Embedded POSReady 2009 und Windows Embedded Standard 2009.
- Update KB4093478: Sicherheitsupdate für diverse Kernel-Sicherheitslücken in Windows Server 2008.
- Update KB4101864: Sicherheitsupdate für Windows Embedded POSReady 2009 und Windows Embedded Standard 2009.
Nicht sicherheitsrelevante Updates
Mit Update KB890830 wurde das Windows Malicious Software Removal Tool zum 10. April 2018 aktualisiert. Dieses scannt das System bei der Update-Installation einmalig auf Malware. Hier verweise ich auf die in der folgenden Liste aufgeführten Blog-Beiträge zum Tool.
Weiterhin wurden einige Updates in ihren Meta-Daten überarbeitet, der Binär-Inhalt der Updates hat sich nicht geändert. Diese Updates sind hier aufgelistet.
Ähnliche Artikel:
Microsoft Office Patchday (3. April 2018)
Adobe Flash Player Update auf Version 29.0.0.140
Microsoft Patchday Summary 10. April 2018
Patchday: Windows 10-Updates 10. April 2018
Patchday: Updates für Windows 7/8.1/Server April 2018
Patchday Microsoft Office Updates (10. April 2018)
Patchday: Weitere Microsoft Updates zum 10. April 2018
Windows 7/8.1 Updates KB2952664/KB2976978 (10.04.2018)
Windows-Tool zum Entfernen bösartiger Software (KB890830)
Malicious Software Removal Tool schickt auch Telemetriedaten
Update KB890830 (Windows Malicious Removal Tool) macht Probleme
Windows 7/8.1 Preview Rollup Updates (17.04.2018)
Windows Updates KB4093117 und KB4093120 (17.04.2018)
Ist das kumulative IE-Update (KB4092946) diesmal sinnvoll/nötig, wenn man die Security-Only-Schiene fährt? In dem Beitrag zu den Windows7-Updates wurde ja angemerkt, daß schon im Security-Only-Update für Windows 7 ein Fix für den IE enthalten wäre. Naja, im Prinzip ist es eh egal, im nächsten Monat gibt es halt wieder ein kumulatives IE-Update, so gesehen verpasst man nicht viel.
Kleine Berichtigung
Im Artikel wird Server 2008 KB4093124 genannt.
Die richtige Bezeichnung lautet aber KB4093224
Selbes für KB4093127 welches korrekt KB4093227 lautet.
Neben u.a. KB4093224 ist für xp-Embedded POSReady 2009 auch noch KB4093223 im Angebot.
https://www.catalog.update.microsoft.com/Search.aspx?q=4093223
Das System sagt das Update kann nicht installiert werden, immer dasselbe zum kotzen!
Windows 7 Home Premium 32 Bit SP1
KB4093118 hatte ich vor 2 Tagen ausgeblendet. Heute ist
das Ding aus der Liste ausgeblendete Updates verschwunden.
Soeben bekam ich KB4093118 wieder als wichtiges Update angeboten. Ist das neu angebotene KB4093118 jetzt ohne
Fehl und Tadel, und sollte man es installieren ?
KB4092946 verhält sich bis jetzt total normal.
Windows 7 Home Premium 32 Bit SP 1
KB4093118 habe ich vor 2 Tagen ausgeblendet.
Heute ist es als wichtiges Update wieder im Angebot.
Ist das Ding überarbeitet und absolut fehlerfrei ?
Installieren JA oder NEIN ???????
Seit den April Updates ist das Suchen in freigegeben Kontakten (Outlook 2013) nicht mehr möglich.
Könnt ihr das Problem nachstellen?