DFN-CERT-2017-1782 Microsoft Office, Office-Produkte und -Dienste: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes mit den Rechten des Anwenders

DFN-CERT-2017-1782 Microsoft Office, Office-Produkte und -Dienste: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes mit den Rechten des Anwenders

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (09.05.18):
Microsoft informiert in einer Aktualisierung seines Sicherheitshinweises
ADV170017 über neue Updates für die unterstützten Editionen von Microsoft
Office 2010, Microsoft Office 2013 und Microsoft Office 2016 und empfiehlt
ferner seinen Kunden den Anweisungen unter FAQ #1 zu folgen. Außerdem
wurde FAQ #2 bezüglich der sicheren Verwendung von selbst extrahierenden
Installationsprogrammen für Microsoft Office ergänzt.
Version 1 (11.10.17):
Neues Advisory

Mehrere Schwachstellen in Microsoft Office sowie Microsoft Outlook
ermöglichen einem entfernten, nicht authentifizierten Angreifer beliebigen
Programmcode mit den Rechten des angemeldeten Benutzers zur Ausführung zu
bringen und, abhängig von dessen Rechten, möglicherweise die vollständige
Kontrolle über das betroffene System zu erlangen. Die Schwachstelle
CVE-2017-11826 wird hier bereits aktiv ausgenutzt. Eine Schwachstelle in
Microsoft Outlook (CVE-2017-11776), über die auch bereits von Dritten
berichtet wurde, ermöglicht einem entfernten, nicht authentisierten
Angreifer die Umgehung von Sicherheitsvorkehrungen. Einem lokalen, einfach
authentisierten Angreifer ermöglicht eine Schwachstelle in Skype das
Erlangen von Nutzerrechten bis hin zur vollständigen Kontrolle über das
System. Drei Schwachstellen in Microsoft Sharepoint ermöglichen einem
entfernten, einfach authentisierten Angreifer die Ausführung beliebigen
Programmcodes.

Microsoft adressiert diese Schwachstellen im Rahmen des Microsoft Oktober
2017 Sicherheitsupdates. Diese können im Microsoft Security Update Guide
über die Kategorie ‘Microsoft Office’ identifiziert werden. Außerdem stellt
Microsoft ein Defense-in-Depth-Update für Microsoft Office zur Verfügung
(siehe ADV170017).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2017-1782]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben