Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Microsoft Office 2010 Click-to-Run (C2R) für 64-Bit-Editionen
Microsoft Office 2010 Click-to-Run (C2R) für 32-Bit-Editionen
Microsoft Office 2013 Click-to-Run (C2R) für 64-Bit-Editionen
Microsoft Office 2013 Click-to-Run (C2R) für 32-Bit-Editionen
Microsoft Office 2016 Click-to-Run (C2R) für 64-Bit-Editionen
Microsoft Office 2016 Click-to-Run (C2R) für 32-Bit-Editionen
Microsoft Outlook 2007 SP3
Microsoft Outlook 2010 SP2 x64
Microsoft Outlook 2010 SP2 x86
Microsoft Outlook 2013 SP1 x86
Microsoft Outlook 2013 SP1 x64
Microsoft Outlook 2013 RT SP1
Microsoft Outlook 2016 x64
Microsoft Outlook 2016 x86
Betroffene Plattformen:
Microsoft Windows
Mehrere Schwachstellen in verschiedenen Versionen von Microsoft Outlook
ermöglichen einem entfernten, nicht authentisierten Angreifer die komplette
Kompromittierung betroffener Systeme, das Umgehen von
Sicherheitsvorkehrungen und in der Folge die Ausführung beliebigen
Programmcodes und das Ausspähen sensitiver Informationen aus dem
Prozessspeicher.
Microsoft informiert darüber, dass die beschriebenen Schwachstellen zu den
Sicherheitsupdates von Juli 2017 hinzugefügt worden sind. Benutzer der
Software müssen automatische Updates aktivieren, um die Sicherheitsupdates
zu erhalten oder den Weg über den Microsoft Update Catalog oder das
Microsoft Download Center wählen.
Zu den Produkten Outlook 2007, Outlook 2010, Outlook 2013 und Outlook 2016
stellt Microsoft Hinweise zu den Sicherheitsupdates bereit. Zur Behebung der
Schwachstellen ist es erforderlich, dass die entsprechenden Releaseversionen
von Microsoft Office auf betroffenen Systemen installiert sind. Dies sind
Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013
SP1 und Microsoft Office 2016.
Zusätzlich stehen neue Versionen von Microsoft Office 2010, 2013 und 2016
Click-To-Run zur Verfügung.
Patch:
Sicherheitsupdate für Microsoft Outlook 2007 vom 27.07.2017
Patch:
Sicherheitsupdate für Microsoft Outlook 2010 vom 27.07.2017
Patch:
Sicherheitsupdate für Microsoft Outlook 2013 vom 27.07.2017
Patch:
Sicherheitsupdate für Microsoft Outlook 2016 vom 27.07.2017
CVE-2017-8663: Schwachstelle in Microsoft Outlook ermöglicht komplette
Systemübernahme
Microsoft Outlook verarbeitet Email-Nachrichten fehlerhaft. Ein entfernter,
nicht authentisierter Angreifer kann mit Hilfe einer speziell präparierten
Email, die von einem Benutzer der Software geöffnet wird, den Systemspeicher
korrumpieren und in der Folge die Kontrolle über das gesamte System
übernehmen.
CVE-2017-8572: Schwachstelle in Microsoft Outlook ermöglicht Ausspähen von
Informationen
Bestimmte Objekte im Speicher können über eine Schwachstelle in Microsoft
Outlook offengelegt werden. Ein entfernter, nicht authentisierter Angreifer
kann die Schwachstelle ausnutzen, indem er einen Benutzer der Software dazu
verleitet, eine speziell präparierte Datei zu öffnen. Falls der Angreifer
die Speicheradresse kennt, an der das zugehörige Objekt erstellt wird, kann
er in der Folge Teile des Prozessspeichers ausspähen und dadurch Zugriff auf
sensitive Informationen erhalten.
CVE-2017-8571: Schwachstelle in Microsoft Outlook ermöglicht Umgehen von
Sicherheitsvorkehrungen
Bestimmte Eingabedaten werden von Microsoft Outlook nicht korrekt behandelt.
Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen, indem er einen Benutzer der Software dazu verleitet, eine
speziell präparierte Datei zu öffnen und darin auf eine bestimmte Zelle zu
klicken. Der Angreifer kann dadurch nicht spezifizierte
Sicherheitsvorkehrungen umgehen und in der Folge beliebigen Programmcode
ausführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1310/
Sicherheitsupdate für Microsoft Outlook 2007 vom 27.07.2017:
https://support.microsoft.com/en-us/help/3213643/description-of-the-security-update-for-outlook-2007-july-27-2017
Sicherheitsupdate für Microsoft Outlook 2010 vom 27.07.2017:
https://support.microsoft.com/de-de/help/2956078/description-of-the-security-update-for-outlook-2010-july-27-2017
Sicherheitsupdate für Microsoft Outlook 2013 vom 27.07.2017:
https://support.microsoft.com/de-de/help/4011078/description-of-the-security-update-for-outlook-2013-july-27-2017
Sicherheitsupdate für Microsoft Outlook 2016 vom 27.07.2017:
https://support.microsoft.com/de-de/help/4011052/description-of-the-security-update-for-outlook-2016-july-27-2017
Hinweis auf neue Updates für Microsoft Outlook, 27.07.2017:
https://blogs.technet.microsoft.com/office_sustained_engineering/2017/07/27/new-updates-are-available-for-outlook/
Schwachstelle CVE-2017-8571 (Microsoft):
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8571
Schwachstelle CVE-2017-8571 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8571
Schwachstelle CVE-2017-8572 (Microsoft):
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8572
Schwachstelle CVE-2017-8572 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8572
Schwachstelle CVE-2017-8663 (Microsoft):
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8663
Schwachstelle CVE-2017-8663 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8663
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
