Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 8 (12.11.2015):
Microsoft informiert mit einer erneuten Aktualisierung seines
Sicherheitshinweises MS15-099 für Office darüber, dass die
Sicherheitsupdates für betroffene Microsoft Office Software erneut
veröffentlicht wurden, um die Schwachstelle CVE-2015-2545 umfassend zu
adressieren. Microsoft empfiehlt allen Kunden, welche betroffene Editionen
von Microsoft Office verwenden, die mit dieser Revision veröffentlichten
Sicherheitsupdates zu installieren, um gegen die Schwachstelle vollständig
geschützt zu sein. (Siehe Microsoft Knowledge Base Artikel 3089664 für
weitere Information.)
Version 7 (14.10.2015):
Microsoft aktualisiert den Sicherheitshinweis MS15-099 für Office erneut,
um über die Verfügbarkeit eines Updatepakets für Microsoft Excel 2016 zu
informieren. Nutzer der entsprechenden Version sollten das Update 2920693
installieren, um gegen die hier beschriebenen Schwachstellen geschützt zu
sein.
Version 6 (08.10.2015):
Microsoft hat die Sicherheitsmeldung MS15-97 hinsichtlich Fußnoten und
Update FAQ aktualisiert, allerdings zum jetzigen Zeitpunkt nur in der
englischen Variante. Hiermit werden Kunden, die betroffene Versionen von
Microsoft Lync 2013 (Skype for Business) verwenden, darüber informiert,
welche vorherigen Updates im Vorwege installiert sein müssen, um Update
3085500 installieren zu können.
Version 5 (01.10.2015):
Microsoft kündigt mit der Überarbeitung der Sicherheitsmeldung MS15-097
ein Sicherheitsupdate für Skype for Business 2016 an. Benutzer von Skype
for Business 2016 sollten das Update 2910994 (siehe Referenzen)
einspielen, um die Sicherheitslücken zu schließen, falls die automatische
Update-Funktion, durch die das Einspielen ohne weitere
Benutzerinteraktionen vorgenommen wird, nicht eingeschaltet ist.
Version 4 (01.10.2015):
Microsoft hat die Sicherheitsmeldung MS15-099 überarbeitet, da ein
Sicherheitsupdate für Microsoft Office 2016 jetzt verfügbar ist. Benutzer
von Microsoft Office 2016 sollten das Update 2910993 (siehe Referenzen)
einspielen, um die Sicherheitslücken zu schließen, falls die automatische
Update-Funktion, durch die das Einspielen ohne weitere
Benutzerinteraktionen vorgenommen wird, nicht eingeschaltet ist.
Version 3 (16.09.2015):
Microsoft aktualisiert die Sicherheitsmeldung MS15-099, allerdings nur in
der englischen Variante, um darüber zu informieren, dass das Update
3088502 für Microsoft Office für Mac 2016 jetzt verfügbar ist. Weitere
Informationen über das Sicherheitsupdate und die damit verbundenen
Verbesserungen finden sich im Microsoft Knowledge Base Artikel KB 3088502
(siehe Referenzen).
Version 2 (14.09.2015):
Microsoft aktualisiert die Sicherheitsmeldung MS15-104, allerdings nur in
der englischen Variante, um darüber zu informieren, dass bei manueller
Installation des Updates für Microsoft Lync Server 2013 geprüft werden
sollte, das bereits das kumulative Update 2809243 für Lync Server 2013
installiert ist. Falls das automatische Update genutzt wird, erfolgt
Prüfung und Installation automatisch in der erforderlichen Abfolge.
(Weitere Informationen über Voraussetzungen für das kumulative Update
finden sich im Microsoft Knowledge Base Artikel KB 2809243).
Version 1 (09.09.2015):
Neues Advisory
Betroffene Software:
Microsoft Excel 2007 Sp3
Microsoft Excel 2010 Sp2 X86
Microsoft Excel 2010 Sp2 X64
Microsoft Excel 2011 Mac OS
Microsoft Excel 2013 RT SP1
Microsoft Excel 2013 SP1 X64
Microsoft Excel 2013 SP1 X86
Microsoft Excel 2016
Microsoft Excel 2016 Mac OS
Microsoft Excel Viewer
Microsoft Live Meeting Console 2007
Microsoft Lync 2010 Attendee
Microsoft Lync 2010 X64
Microsoft Lync 2010 X86
Microsoft Lync 2013 SP1 X64
Microsoft Lync 2013 SP1 X86
Microsoft Lync Basic 2013 SP1 X64
Microsoft Lync Basic 2013 SP1 X86
Microsoft Lync Server 2013
Microsoft Office 2007 SP3
Microsoft Office 2010 SP2 X64
Microsoft Office 2010 SP2 X86
Microsoft Office 2013 RT SP1
Microsoft Office 2013 SP1 X64
Microsoft Office 2013 SP1 X86
Microsoft Office 2016 Mac
Microsoft Office 2016 SP1 X64
Microsoft Office 2016 SP1 X32
Microsoft Office Compatibility Pack SP3
Microsoft Sharepoint Server 2013 SP1
Skype for Business Server 2015
Skype for Business Server 2016
Betroffene Plattformen:
Apple Mac OS
Microsoft Windows
Microsoft Windows RT
Mehrere Schwachstellen in Microsoft Office, Sharepoint, Skype for Business
Server und Lync Server ermöglichen es einem entfernten und nur in einem Fall
authentifizierten Angreifer seine Privilegien zu erweitern und beliebigen
Programmcode mit den Rechten des angemeldeten Benutzers zur Ausführung zu
bringen. Weitere Schwachstellen ermöglichen es einem entfernten, nicht
angemeldeten Angreifer Cross-Site-Scripting (XSS)-Angriffe durchzuführen.
Microsoft hat bekannt gegeben, dass die Schwachstelle CVE-2015-2545 bereits
ausgenutzt wird und einen Workaround dazu veröffentlicht.
Patch:
Microsoft Security Bulletin MS15-097 (Graphics Component)
https://technet.microsoft.com/en-US/library/security/MS15-097
Patch:
Microsoft Sicherheitshinweise MS15-097 (Graphics-Komponente)
https://technet.microsoft.com/de-de/library/security/MS15-097
Patch:
Microsoft Sicherheitshinweise MS15-099 (Office)
https://technet.microsoft.com/de-de/library/security/MS15-099
Patch:
Microsoft Sicherheitshinweise MS15-104 (Skype for Business Server und Lync
Server)
https://technet.microsoft.com/de-de/library/security/MS15-104
Patch:
Microsoft Security Bulletin MS15-104
https://technet.microsoft.com/en-us/library/security/MS15-104
Patch:
Microsoft Security Bulletin MS15-099
https://technet.microsoft.com/en-us/library/security/MS15-099
Patch:
Microsoft Security Bulletin MS15-097 (Englisch)
https://technet.microsoft.com/en-us/library/security/MS15-097
CVE-2015-2545: Schwachstelle in Microsoft Office ermöglicht das Ausführen
beliebigen Programmcodes
Microsoft Office 2007 SP3, 2010 SP2, 2013 SP1 und 2013 RT SP1 enthalten eine
Schwachstelle, die auf einer fehlerhaften Verarbeitung von Grafikdateien
beruht. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle unter Verwendung einer veränderten EPS-Grafikdatei ausnutzen,
indem er einen Benutzer dazu verleitet diese Datei mit Office-Produkten zu
öffnen, um in der Folge beliebigen Programmcode mit den Rechten des
Anwenders zur Ausführung bringen. Als Problemumgehung empfiehlt Microsoft
den Administratoren mit Hilfe von Zugriffssteuerungslisten (ACL) jeglichen
Zugriff auf die Datei “EPSIMP32.FLT” zu unterbinden.
CVE-2015-2536: Cross-Site-Scripting-Schwachstelle ermöglicht
Privilegieneskalation
Es existiert eine Cross-Site-Scripting-Schwachstelle in Microsoft Lync
Server 2013 und Skype für Business Server 2015, die durch eine unzureichende
Bereinigung von speziell gestalteten Inhalten hervorgerufen wird. Ein
Angreifer kann die Schwachstelle ausnutzen und einen Benutzer, mittels eines
Email-Links oder über eine speziell präparierte Webseite, dazu verleiten
eine präparierte URL anzuklicken. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode
auszuführen, wodurch er die Kontrolle über das System erhalten kann. Er kann
dann Programme installieren, Dateien erstellen / ändern / löschen oder
Benutzerkonten mit sämtlichen Rechten erstellen.
CVE-2015-2532: Cross-Site-Scripting-Schwachstelle ermöglicht Ausspähen von
Informationen
Es existiert eine Cross-Site-Scripting (XSS)-Schwachstelle im Microsoft Lync
Server 2013, die durch unzureichende Bereinigung von speziell gestalteten
Inhalten hervorgerufen wird. Ein Angreifer kann die Schwachstelle ausnutzen,
um einen Benutzer, mittels eines Email-Links oder über eine speziell
präparierte Webseite, dazu zu verleiten eine präparierte URL anzuklicken.
Dadurch lassen sich Skripte im Browser des Benutzers ausführen, die
Informationen aus der Websitzung offenlegen. Ein entfernter, nicht
authentifizierter Angreifer kann Informationen ausspähen.
CVE-2015-2531: Cross-Site-Scripting-Schwachstelle ermöglicht Ausspähen von
Informationen
Es existiert eine Cross-Site-Scripting (XSS)-Schwachstelle im jQuery-Modul
für Microsoft Lync Server 2013 und Skype für Business Server 2015, die durch
eine unzureichende Bereinigung von speziell gestalteten Inhalten
hervorgerufen wird. Ein Angreifer kann die Schwachstelle dazu ausnutzen, um
einen Benutzer, mittels eines Email-Links oder über eine speziell
präparierte Webseite, dazu zu verleiten eine präparierte URL anzuklicken.
Dadurch lassen sich Skripte im Browser des Benutzers ausführen, die
Informationen aus der Websitzung offenlegen. Ein entfernter, nicht
authentifizierter Angreifer kann Informationen ausspähen.
CVE-2015-2523: Schwachstelle in Microsoft Office ermöglicht das Ausführen
beliebigen Programmcodes
Microsoft Excel 2007 SP3, Excel 2010 SP2, Excel 2013 SP1, Excel 2013 RT SP1,
Excel für Mac 2011 und 2016, Office Compatibility Pack SP3 sowie Excel
Viewer enthalten eine Schwachstelle, durch die Objekte im Speicher
fehlerhaft verarbeitet werden. Ein entfernter, nicht authentisierter
Angreifer kann die Schwachstelle, unter Verwendung von speziell veränderten
Dateien auf die ein normaler Anwender zugreifen muss, dazu ausnutzen, um
beliebigen Programmcode mit den Rechten des Anwenders zur Ausführung zu
bringen. Sollte der Anwender über Administratorrechte verfügen, kann das zu
einer vollständigen Übernahme des Systems durch den Angreifer führen.
CVE-2015-2522: Schwachstelle in Sharepoint ermöglicht
Cross-Site-Scripting-Angriff
Es besteht eine Schwachstelle in Microsoft SharePoint Foundation 2013 SP1,
die auf einer unvollständigen Überprüfung der Webanfragen von Nutzern
beruht. Ein entfernter, einfach authentisierter Benutzer, als Angreifer,
kann diese Schwachstelle dazu ausnutzen, um Cross-Site-Scripting (XSS)
Spoofing-Angriffe durchzuführen und auf diesem Wege möglicherweise Zugriff
auf vertrauliche Informationen zu erlangen.
CVE-2015-2521: Schwachstelle in Microsoft Office ermöglicht das Ausführen
beliebigen Programmcodes
Microsoft Excel 2007 SP3, Excel 2010 SP2, Office Compatibility Pack SP3 und
Excel Viewer enthalten eine Schwachstelle, durch die Objekte im Speicher
fehlerhaft verarbeitet werden. Ein entfernter, nicht authentisierter
Angreifer kann die Schwachstelle, unter Verwendung von speziell veränderten
Dateien auf die ein normaler Anwender zugreifen muss, dazu ausnutzen, um
beliebigen Programmcode mit den Rechten des Anwenders zur Ausführung zu
bringen. Sollte der Anwender über Administratorrechte verfügen, kann das zu
einer vollständigen Übernahme des Systems durch den Angreifer führen.
CVE-2015-2520: Schwachstelle in Microsoft Office ermöglicht das Ausführen
beliebigen Programmcodes
Microsoft Excel 2007 SP3, Excel 2010 SP2, Excel für Mac 2011 und 2016,
Office Compatibility Pack SP3 sowie Excel Viewer enthalten eine
Schwachstelle, durch die Objekte im Speicher fehlerhaft verarbeitet werden.
Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle,
unter Verwendung von speziell veränderten Dateien auf die ein normaler
Anwender zugreifen muss, dazu ausnutzen, um beliebigen Programmcode mit den
Rechten des Anwenders zur Ausführung zu bringen. Sollte der Anwender über
Administratorrechte verfügen, kann das zu einer vollständigen Übernahme des
Systems durch den Angreifer führen.
CVE-2015-2510: Schwachstelle in Adobe Type Manager ermöglicht Ausführen
beliebigen Programmcodes
Eine Schwachstelle führt zu einem Pufferspeicherüberlauf (“buffer
overflow”), wenn der Adobe Type Manager in Microsoft Windows Vista SP2,
Windows Server 2008 SP2, Office 2007 SP3, Office 2010 SP2, Lync 2010, Lync
2010 Attendee, Lync 2013 SP1, Lync Basic 2013 SP1 und Live Meeting 2007
Console OpenType-Schriftarten fehlerhaft verarbeitet. Ein Angreifer kann
diese Schwachstelle ausnutzen, indem er einen Benutzer dazu verleitet ein
speziell gestaltetes Dokument oder eine präparierte Webseite aufzurufen, in
denen OpenType-Schriftarten eingebettet sind. Ein entfernter, nicht
authentifizierter Angreifer kann durch das Ausnutzen der Schwachstelle
beliebigen Programmcode ausführen und die Kontrolle über das betroffene
System erhalten. Dadurch kann er Programme installieren, Dateien erstellen /
ändern / löschen oder Benutzerkonten mit sämtlichen Rechten erstellen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1386/
Microsoft Security Bulletin MS15-097 (Graphics Component):
https://technet.microsoft.com/en-US/library/security/MS15-097
Microsoft Sicherheitshinweise MS15-097 (Graphics-Komponente):
https://technet.microsoft.com/de-de/library/security/MS15-097
Microsoft Sicherheitshinweise MS15-099 (Office):
https://technet.microsoft.com/de-de/library/security/MS15-099
Microsoft Sicherheitshinweise MS15-104 (Skype for Business Server und Lync
Server):
https://technet.microsoft.com/de-de/library/security/MS15-104
Schwachstelle CVE-2015-2510 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2510
Schwachstelle CVE-2015-2520 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2520
Schwachstelle CVE-2015-2521 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2521
Schwachstelle CVE-2015-2522 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2522
Schwachstelle CVE-2015-2523 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2523
Schwachstelle CVE-2015-2531 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2531
Schwachstelle CVE-2015-2532 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2532
Schwachstelle CVE-2015-2536 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2536
Schwachstelle CVE-2015-2545 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2545
Microsoft Security Bulletin MS15-104:
https://technet.microsoft.com/en-us/library/security/MS15-104
Microsoft Knowledge Base Artikel KB 2809243:
https://support.microsoft.com/en-us/kb/2809243
Microsoft Security Bulletin MS15-099:
https://technet.microsoft.com/en-us/library/security/MS15-099
Microsoft Knowledge Base Artikel KB 3088502:
https://support.microsoft.com/de-de/kb/3088502
Microsoft Knowledge Base Artikel KB 2910993:
https://support.microsoft.com/de-de/kb/2910993
Microsoft Knowledge Base Artikel KB 2910994:
https://support.microsoft.com/de-de/kb/2910994
Microsoft Security Bulletin MS15-097 (Englisch):
https://technet.microsoft.com/en-us/library/security/MS15-097
Microsoft Knowledge Base Artikel KB 3089664:
https://support.microsoft.com/de-de/kb/3089664
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
