Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 4 (14.10.2015):
Microsoft aktualisiert den Sicherheitshinweis MS15-046 erneut, allerdings
nur in der englischen Version, um über die Verfügbarkeit eines neuen
Sicherheitsupdates 3085544 für Microsoft Office 2007 zu informieren,
welches Probleme mit dem zuvor bereitgestellten Update 2965282 adressiert.
Nutzer von Microsoft Office 2007 sollten das neue Update 3085544 möglichst
zeitnah installieren, um vollständig gegen die hier beschriebenen
Sicherheitsanfälligkeiten geschützt zu sein.
Version 3 (10.06.2015):
Microsoft aktualisiert diesen Sicherheitshinweis im Zuge des
Juni-Patchdays erneut, um Probleme, die im Kontext der Sicherheitsupdates
für Microsoft Office 2010 aufgetreten sind, zu beheben. Microsoft
empfiehlt allen Nutzern die veröffentlichten Updates zu installieren, um
vollständig gegen Angriffe basierend auf der Schwachstelle CVE-2015-1682
geschützt zu sein. Zusätzlich zu dieser Aktualisierung veröffentlicht
Microsoft mit dem Security Bulletin MS15-059 weitere Updates für die
Office Produkte.
Version 2 (20.05.2015):
Microsoft aktualisiert den Office-Sicherheitshinweis, allerdings nur in
der englischen Version, aufgrund der Verfügbarkeit des Microsoft Office
für Mac Updates 14.5.1. Diese Aktualisierung adressiert ein potentielles
Problem mit dem am Mai-Patchtag veröffentlichten Sicherheitsupdate
Microsoft Office für Mac 14.5.0. Kunden, die das Update 14.5.0 noch nicht
installiert haben, sollten jetzt das Update 14.5.1 installieren. Kunden,
die bereits das Update 14.5.0 installiert haben, sollten zusätzlich auch
das Update 14.5.1 installieren, um etwaige zukünftige Probleme mit dem
Produkt zu vermeiden. Diese Aktualisierung ist nur für Microsoft Office
für Mac Benutzer relevant, für Nutzer anderer Produktversionen ergeben
sich hiermit keine Änderungen.
Version 1 (13.05.2015):
Neues Advisory
Betroffene Software:
Microsoft Excel 2010 Sp2 X64
Microsoft Excel 2010 Sp2 X86
Microsoft Excel 2011 Mac OS
Microsoft Excel 2013 RT SP1
Microsoft Excel 2013 SP1 X64
Microsoft Excel 2013 SP1 X86
Microsoft Office 2007 SP3
Microsoft Office 2010 SP2 X64
Microsoft Office 2010 SP2 X86
Microsoft Office 2011 Mac
Microsoft Office 2013 RT SP1
Microsoft Office 2013 SP1 X64
Microsoft Office 2013 SP1 X86
Microsoft Office Web Apps 2010 SP2
Microsoft Office Web Apps 2013 SP1
Microsoft Office Web Apps Server 2013 SP1
Microsoft PowerPoint 2010 X64 SP2
Microsoft PowerPoint 2010 X86 SP2
Microsoft PowerPoint 2011 Mac OS
Microsoft PowerPoint 2013 SP1 RT
Microsoft PowerPoint 2013 SP1 X64
Microsoft PowerPoint 2013 SP1 X86
Microsoft PowerPoint Viewer
Microsoft Sharepoint Foundation 2010 SP2
Microsoft Sharepoint Server 2010 SP2
Microsoft Sharepoint Server 2013 SP1
Microsoft Word 2010 Sp2 X64
Microsoft Word 2010 Sp2 X86
Microsoft Word 2011 Mac OS
Microsoft Word 2013 SP1
Microsoft Word 2013 RT SP1
Betroffene Plattformen:
Apple Mac OS
Microsoft Windows
Microsoft Windows RT
Microsoft Office enthält zwei nicht näher beschriebene Schwachstellen, die
ein entfernter, nicht authentisierter Angreifer zum Ausführen beliebigen
Programmcodes mit den Rechten des angemeldeten Benutzers ausnutzen kann.
Patch:
Microsoft Sicherheitshinweise MS15-046 (Office)
https://technet.microsoft.com/de-de/library/security/MS15-046
Patch:
Microsoft Sicherheitshinweise MS15-046 (Office, Englisch)
https://technet.microsoft.com/en-us/library/security/MS15-046
Patch:
Microsoft Sicherheitshinweise MS15-059 (Microsoft Office)
https://technet.microsoft.com/de-de/library/security/MS15-059
CVE-2015-1683: Schwachstelle in Microsoft Office ermöglicht Ausführung
beliebigen Programmcodes
Microsoft Office enthält eine nicht näher beschriebene Schwachstelle, durch
die Speicherbereiche überschrieben werden können. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstelle dazu ausnutzen,
beliebigen Programmcode mit den Rechten des Benutzers auszuführen.
CVE-2015-1682: Schwachstelle in Microsoft Office ermöglicht Ausführung
beliebigen Programmcodes
Microsoft Office enthält eine nicht näher beschriebene Schwachstelle, durch
die Speicherbereiche überschrieben werden können. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstelle dazu ausnutzen,
beliebigen Programmcode mit den Rechten des Benutzers auszuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0690/
Microsoft Sicherheitshinweise MS15-046 (Office):
https://technet.microsoft.com/de-de/library/security/MS15-046
Schwachstelle CVE-2015-1682 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1682
Schwachstelle CVE-2015-1683 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1683
Microsoft Sicherheitshinweise MS15-046 (Office, Englisch):
https://technet.microsoft.com/en-us/library/security/MS15-046
Microsoft Sicherheitshinweise MS15-059 (Microsoft Office):
https://technet.microsoft.com/de-de/library/security/MS15-059
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
