Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Microsoft Office <= 2003 Sp3 Microsoft Office <= 2007 Sp3 Microsoft Office <= 2010 Sp2 x64 Microsoft Office <= 2010 Sp2 x86 Microsoft Office Web Apps <= 2010 Sp1 Microsoft Sharepoint Foundation <= 2010 Sp1 Microsoft Sharepoint Server <= 2007 Sp3 Microsoft Sharepoint Server <= 2010 Sp1 Microsoft Sharepoint Services <= 3.0 Betroffene Plattformen: Windows Ein Angreifer kann diese Schwachstellen ausnutzen, um Administratorrechte zu erlangen CVE-2013-3180: Schwachstelle in Microsoft SharePoint Server Eine Schwachstelle in Microsoft SharePoint Server säubert POST Anfragen nicht korrekt. Ein entfernter, angemeldeter Angreifer kann diese Schwachstellen für einen Cross-site-Scripting Angriff ausnutzen und so die Identität eines Benutzers annehmen und mit seinen Rechten Befehle auf dem SharePoint Server ausführen oder Dateien lesen zu denen er kein Zugiff hat. CVE-2013-3179: Schwachstelle in Microsoft SharePoint Server Eine Schwachstelle in Microsoft SharePoint Server säubert Anfragen nicht korrekt. Ein entfernter, angemeldeter Angreifer kann dadurch einen Cross-site-Scripting Angriff durchführen und dazu nutzen die Identität ein Benutzers anzunehmen um beliebige Befehle auf dem SharePoint Server mit dessen Rechnen auszuführen oder Dateien zu lesen zu den er keine Zugriff hat. CVE-2013-1330: Schwachstelle in Microsoft SharePoint Server Microsoft SharePoint Server prüft eingegebene Daten nicht korrekt. Ein entfernter, nicht angemeldeter Angreifer kann diese Schwachstelle ausnutzen indem er präparierte Daten an den Server sendet und so beliebige Befehle mit den Rechten des W3WP Service ausgeführt. CVE-2013-0081: Microsoft: Schwachstelle in Microsoft Sharepoint Eine Schwachstelle im Microsoft SharePoint Server W3WP Prozess ermöglicht durch eine spezielle zusammengestellte URL einen Denial-of-Service Angriff. Ein entfernter Angreifer kann die Schwachstelle so ausnutzen, dass der Prozess bis zu einem Neustart nicht mehr antwortet. CVE-2013-1315: Schwachstelle in Microsoft Office Service In den Microsoft Office Services werden Objekte im Hauptspeicher beim Parsen von Office Dateien nicht korrekt behandelt. Ein Angreifer kann diese Schwachstelle ausnutzen um Befehle mit den Rechten des Benutzers auszuführen, wenn es ihm gelingt, das der Benutzer eine speziell präparierte Office Datei öffnet. Wenn der Benutzer ein Administrator ist, kann das System komplett übernommen werden. CVE-2013-3858: Schwachstelle im Microsoft Word Microsoft Word verwaltet Objekte im Speicher während des Parsens von bestimmten Microsoft Office-Dateien nicht fehlerfrei. Dies ermöglicht einem entfernten Angreifer durch das Bereitstellen von präparierten Office-Dateien, beliebige Befehle mit den Rechten des eingeloggten Benutzers zur Ausführung zu bringen. Voraussetzung dafür ist, dass der Benutzer die Dateien mit der entsprechenden Anwendung öffnet. CVE-2013-3857: Schwachstelle im Microsoft Word Microsoft Word verwaltet Objekte im Speicher während des Parsens von bestimmten Microsoft Office-Dateien nicht fehlerfrei. Dies ermöglicht einem entfernten Angreifer durch das Bereitstellen von präparierten Office-Dateien, beliebige Befehle mit den Rechten des eingeloggten Benutzers zur Ausführung zu bringen. Voraussetzung dafür ist, dass der Benutzer die Dateien mit der entsprechenden Anwendung öffnet. CVE-2013-3849: Schwachstelle im Microsoft Word Microsoft Word verwaltet Objekte im Speicher während des Parsens von bestimmten Microsoft Office-Dateien nicht fehlerfrei. Dies ermöglicht einem entfernten Angreifer durch das Bereitstellen von präparierten Office-Dateien, beliebige Befehle mit den Rechten des eingeloggten Benutzers zur Ausführung zu bringen. Voraussetzung dafür ist, dass der Benutzer die Dateien mit der entsprechenden Anwendung öffnet. CVE-2013-3848: Schwachstelle im Microsoft Word Microsoft Word verwaltet Objekte im Speicher während des Parsens von bestimmten Microsoft Office-Dateien nicht fehlerfrei. Dies ermöglicht einem entfernten Angreifer durch das Bereitstellen von präparierten Office-Dateien, beliebige Befehle mit den Rechten des eingeloggten Benutzers zur Ausführung zu bringen. Voraussetzung dafür ist, dass der Benutzer die Dateien mit der entsprechenden Anwendung öffnet. CVE-2013-3847: Schwachstelle im Microsoft Word Microsoft Word verwaltet Objekte im Speicher während des Parsens von bestimmten Microsoft Office-Dateien nicht fehlerfrei. Dies ermöglicht einem entfernten Angreifer durch das Bereitstellen von präparierten Office-Dateien, beliebige Befehle mit den Rechten des eingeloggten Benutzers zur Ausführung zu bringen. Voraussetzung dafür ist, dass der Benutzer die Dateien mit der entsprechenden Anwendung öffnet. Referenzen: Dieses Advisory finden Sie auch im DFN-CERT Portal unter: https://portal.cert.dfn.de/adv/DFN-CERT-2013-1618/
Schwachstelle CVE-2013-0081 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0081
Schwachstelle CVE-2013-1315 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1315
Schwachstelle CVE-2013-1330 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1330
Schwachstelle CVE-2013-3179 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3179
Schwachstelle CVE-2013-3180 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3180
Schwachstelle CVE-2013-3847 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3847
Schwachstelle CVE-2013-3848 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3848
Schwachstelle CVE-2013-3849 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3849
Schwachstelle CVE-2013-3857 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3857
Schwachstelle CVE-2013-3858 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3858
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
