Microsoft heeft vanavond beveiligingsupdates uitgebracht die in totaal 113 kwetsbaarheden verhelpen, waaronder twee beveiligingslekken in Windows die al werden aangevallen voordat de patches beschikbaar waren. Het gaat om twee zerodaylekken in de Adobe Font Manager Library aangeduid als CVE-2020-1020 en CVE-2020-0938, waardoor een aanvaller in het ergste geval volledige controle over bepaalde Windowsversies kan krijgen.

In het geval van CVE-2020-1020 kwam Microsoft hier op 23 maart met een waarschuwing voor. Het bestaan van het tweede zerodaylek, CVE-2020-0938, is pas vanavond bekendgemaakt. Via beide kwetsbaarheden zou een aanvaller op alle Windowsversies, behalve op Windows 10, willekeurige code kunnen uitvoeren. Een slachtoffer zou in dit geval een speciaal geprepareerd document moeten openen of dit document in het Windows-voorbeeldvenster (preview pane) moeten bekijken.

Microsoft maakte later bekend dat de waargenomen aanvallen tegen Windows 7-systemen waren gericht. In het geval van Windows 10 is de impact van een aanval volgens Microsoft beperkt, omdat de aanvaller dan alleen code met beperkte rechten en mogelijkheden binnen de context van de AppContainer-sandbox kan uitvoeren. In het geval van Windows 7 zullen alleen gebruikers met een onderhoudscontract de beschikbaar gemaakte beveiligingsupdates ontvangen. De kwetsbaarheden waren door Google en het Chinese securitybedrijf Qi An Xin Group aan Microsoft gerapporteerd.

Naast de twee bovengenoemde kwetsbaarheden zijn er ook kritieke beveiligingslekken in Windows Media Foundation, Microsoft Graphics, SharePoint, Windows Codecs Library, Microsoft Edge, Dynamics Business Central, Hyper-V en Internet Explorer verholpen waardoor aanvallers volledige controle over systemen hadden kunnen krijgen. Geen van deze kwetsbaarheden zijn volgens Microsoft al aangevallen. Ook waren details van de lekken niet voor het uitkomen van de patches bekend.

Dat geldt niet voor een kwetsbaarheid in de OneDrive voor Windows-desktopapplicatie. Via dit beveiligingslek kon een aanvaller die toegang tot een computer had zijn rechten verhogen en zo volledige controle over het systeem kunnen krijgen. Hoewel details al openbaar waren is de kwetsbaarheid niet misbruikt, aldus Microsoft. Verder zijn er deze patchronde beveiligingslekken in Windows Defender, Microsoft Office en Microsoft Apps gepatcht. Op de meeste systemen worden de updates automatisch geïnstalleerd.