DFN-CERT-2015-1891 Microsoft Office: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes mit Benutzerrechten [Apple][Windows]

DFN-CERT-2015-1891 Microsoft Office: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes mit Benutzerrechten [Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Microsoft Excel 2007 Sp3
Microsoft Excel 2010 Sp2 X64
Microsoft Excel 2010 Sp2 X86
Microsoft Excel 2011 Mac OS
Microsoft Excel 2016 Mac OS
Microsoft Excel Viewer
Microsoft Office 2007 SP3
Microsoft Office 2010 SP2 X64
Microsoft Office 2010 SP2 X86
Microsoft Office Compatibility Pack SP3
Microsoft Word 2007 Sp3
Microsoft Word 2010 Sp2 X64
Microsoft Word 2010 Sp2 X86
Microsoft Word 2013 SP1 X64
Microsoft Word 2013 SP1 X86
Microsoft Word 2013 SP1 RT
Microsoft Word 2016 X64
Microsoft Word 2016 X86

Betroffene Plattformen:

Apple Mac OS X
Microsoft Windows
Microsoft Windows RT

Mehrere Schwachstellen in Microsoft Office und dessen Komponenten
ermöglichen einem entfernten, nicht authentisierten Angreifer beliebigen
Programmcode mit den Rechten des Benutzers zur Ausführung zu bringen und,
falls dieser Administratorrechte besitzt, in der Folge die vollständige
Kontrolle über das System zu erlangen. Die Schwachstelle CVE-2015-6124 wird
bereits aktiv ausgenutzt.

Patch:

Microsoft Sicherheitshinweise MS15-131 (Office)

https://technet.microsoft.com/de-de/library/security/MS15-131

CVE-2015-6172: Schwachstelle in Microsoft Office ermöglicht Ausführung
beliebigen Programmcodes mit Benutzerrechten

Mehrere Microsoft Office Softwarekomponenten enthalten eine Schwachstelle,
die auf einem Fehler in der Nachrichtenvorschau in Microsoft Outlook beruht.
Ein entfernter, nicht authentisierter Angreifer, dem es gelingt einen
Anwender dazu zu bringen eine von ihm speziell gestaltete E-Mail in der
Vorschau zu betrachten, kann die Schwachstelle dazu ausnutzen, um in der
Folge beliebigen Programmcode mit den Rechten des Anwenders zur Ausführung
zu bringen.

CVE-2015-6124: Schwachstelle in Microsoft Office ermöglicht Ausführung
beliebigen Programmcodes mit Benutzerrechten

Verschiedene Microsoft Office Softwarekomponenten enthalten eine
Schwachstelle, die auf einer fehlerhaften Verarbeitung von Objekten im
Speicher beruht. Ein entfernter, nicht authentisierter Angreifer, der einen
Anwender dazu verleitet eine speziell veränderte Datei zu öffnen, die er ihm
über E-Mail oder eine Webseite zur Verfügung stellt, kann die Schwachstelle
ausnutzen und in der Folge beliebigen Programmcode mit den Rechten des
Benutzers zur Ausführung bringen. Falls der Anwender mit administrativen
Privilegien ausgestattet ist, kann der Angreifer so das gesamte System
übernehmen und Vertraulichkeit, Integrität und Verfügbarkeit komplett
beeinträchtigen. Diese Schwachstelle wird bereits aktiv ausgenutzt.

CVE-2015-6040 CVE-2015-6118 CVE-2015-6122 CVE-2015-6177: Schwachstellen in
Microsoft Office ermöglichen Ausführung beliebigen Programmcodes mit
Benutzerrechten

Verschiedene Microsoft Office Softwarekomponenten enthalten mehrere
Schwachstellen, die auf einer fehlerhaften Verarbeitung von Objekten im
Speicher beruhen. Ein entfernter, nicht authentisierter Angreifer, der einen
Anwender dazu verleitet eine speziell veränderte Datei zu öffnen, die er ihm
über E-Mail oder eine Webseite zur Verfügung stellt, kann die Schwachstelle
ausnutzen und in der Folge beliebigen Programmcode mit den Rechten des
Nutzers zur Ausführung bringen. Falls der Anwender mit administrativen
Privilegien ausgestattet ist, kann der Angreifer so das gesamte System
übernehmen und Vertraulichkeit, Integrität und Verfügbarkeit komplett
beeinträchtigen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1891/

Microsoft Sicherheitshinweise MS15-131 (Office):
https://technet.microsoft.com/de-de/library/security/MS15-131

Schwachstelle CVE-2015-6040 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6040

Schwachstelle CVE-2015-6118 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6118

Schwachstelle CVE-2015-6122 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6122

Schwachstelle CVE-2015-6124 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6124

Schwachstelle CVE-2015-6172 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6172

Schwachstelle CVE-2015-6177 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6177

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben