DFN-CERT-2013-1621 Microsoft Office: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit Benutzerrechten [Windows]

DFN-CERT-2013-1621 Microsoft Office: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit Benutzerrechten [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Microsoft Excel Viewer
Microsoft Office <= 2003 Sp3 Microsoft Office <= 2007 Sp3 Microsoft Office <= 2010 Sp1 X64 Microsoft Office <= 2010 Sp1 X86 Microsoft Office <= 2010 Sp2 x64 Microsoft Office <= 2010 Sp2 x86 Microsoft Office <= 2011 Mac Microsoft Office <= 2013 Microsoft Office Compatibility Pack <= Sp3 Betroffene Plattformen: Windows Mehrere Schwachstellen in Microsoft Excel und anderer Microsoft Office Software ermöglichen einem entfernten Angreifer schlimmstenfalls beliebige Befehle mit den Rechten des eingeloggten Anwenders zur Ausführung zu bringen. Patch: Microsoft Security Bulletin MS13-073 http://technet.microsoft.com/en-us/security/bulletin/ms13-073

CVE-2013-3159: Schwachstelle in Microsoft Excel

Microsoft Excel verarbeitet bestimmte XML External Entities fehlerhaft, die
in anderen XML External Entity Deklarationen aufgelöst werden. Dies
ermöglicht einem entfernten Angreifer durch das Bereitstellen oder Senden
eines präparierten Dokuments lesenden Zugriff auf Dateien des Systems zu
erlangen.

CVE-2013-3158: Schwachstelle in Microsoft Office

Microsoft Excel und andere Microsoft Office Software verwalten Objekte im
Speicher beim Parsen von bestimmten Office Dokumenten nicht fehlerfrei. Dies
ermöglicht einem entfernten Angreifer durch das Bereitstellen von
präparierten Dokumenten beliebige Befehle mit den Rechten des Anwenders zur
Ausführung zu bringen.

CVE-2013-1315: Schwachstelle in Microsoft Office Service

In den Microsoft Office Services werden Objekte im Hauptspeicher beim Parsen
von Office Dateien nicht korrekt behandelt. Ein Angreifer kann diese
Schwachstelle ausnutzen um Befehle mit den Rechten des Benutzers
auszuführen, wenn es ihm gelingt, das der Benutzer eine speziell präparierte
Office Datei öffnet. Wenn der Benutzer ein Administrator ist, kann das
System komplett übernommen werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1621/

Microsoft Security Bulletin MS13-073:
http://technet.microsoft.com/en-us/security/bulletin/ms13-073

Schwachstelle CVE-2013-1315 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1315

Schwachstelle CVE-2013-3158 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3158

Schwachstelle CVE-2013-3159 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3159

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben