DFN-CERT-2013-2051 Schwachstellen in MS Office und der MS GDI+ Bibliothek ermöglichen Ausführung beliebiger Befehle [Windows]

DFN-CERT-2013-2051 Schwachstellen in MS Office und der MS GDI+ Bibliothek ermöglichen Ausführung beliebiger Befehle [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Microsoft Excel Viewer
Microsoft Lync <= 2010 Attendee Microsoft Lync <= 2010 X64 Microsoft Lync <= 2010 X86 Microsoft Lync <= 2013 X64 Microsoft Lync <= 2013 X86 Microsoft Lync Basic <= 2013 X64 Microsoft Lync Basic <= 2013 X86 Microsoft Office <= 2003 Sp3 Microsoft Office <= 2007 Sp3 Microsoft Office <= 2010 Sp1 X64 Microsoft Office <= 2010 Sp1 X86 Microsoft Office <= 2010 Sp2 x64 Microsoft Office <= 2010 Sp2 x86 Microsoft Office Compatibility Pack <= Sp3 Microsoft PowerPoint Viewer <= 2010 SP1 Microsoft PowerPoint Viewer <= 2010 SP2 Microsoft Word Viewer Microsoft Windows Server 2008 <= Sp2 Microsoft Windows Server 2008 <= Sp2 Itanium Microsoft Windows Server 2008 <= Sp2 X64 Microsoft Windows Server 2008 <= Sp2 X86 Microsoft Windows Vista <= Sp2 Microsoft Windows Vista <= Sp2 X64 Betroffene Plattformen: Windows Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebige Befehle mit den Rechten des Benutzers zur Ausführung zu bringen. Patch: Microsoft Hersteller-Advisory MS13-096 https://technet.microsoft.com/de-de/security/bulletin/ms13-096

Patch:

Microsoft Hersteller-Advisory MS13-106

http://technet.microsoft.com/en-us/security/bulletin/ms13-106

CVE-2013-5057: Schwachstelle in Microsoft Office

Es existiert eine Schwachstelle in einer Microsoft Office Komponente, da sie
ohne Address Space Layout Randomization (ASLR) gebaut wurde. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
Speicherbereiche spezifischer Instruktionen des Programmes genauer
vorhersehen zu können. Dadurch könnte der Angreifer zusätzlichen Schadcode
in den Prozess laden, um gegebenenfalls weitere Schwachstellen auszunutzen.

CVE-2013-3906: Schwachstelle bei der Verarbeitung von TIFF-Bildern

In Microsoft ist in der GDI+ Bibliothek (Graphics Device Interface) eine
Schwachstelle bei der Verarbeitung von TIFF-Bildern vorhanden. Ein
entfernter Angreifer kann diese Schwachstelle zum Ausführen beliebiger
Befehle mit den Rechten des Benutzers ausnutzen, indem er diesen dazu bringt
eine Webseite, E-Mail oder ein Dokument mit einem enthaltenen, entsprechend
aufgebauten TIFF-Bild zu öffnen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-2051/

Microsoft Hersteller-Advisory MS13-096:
https://technet.microsoft.com/de-de/security/bulletin/ms13-096

Schwachstelle CVE-2013-3906 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3906

Microsoft Hersteller-Advisory MS13-106:
http://technet.microsoft.com/en-us/security/bulletin/ms13-106

Schwachstelle CVE-2013-5057 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5057

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben