[Warning] Schwerwiegende Sicherheitslücken in Microsoft Office Outlook - Updates verfügbar
Stephan Richter
richter at cert.at
Fri Jul 28 15:16:18 CEST 2017
28. Juli 2017
Beschreibung
Microsoft hat "out-of-band" Sicherheitsupdates für Microsoft Office
Outlook veröffentlicht, mit denen als schwerwiegend ("important")
bewertete Sicherheitslücken geschlossen werden.
CVE-Nummern: CVE-2017-8571, CVE-2017-8572, CVE-2017-8663
Details
Um die Lücken auszunutzen, muss vom Benutzer eine entsprechend
präparierte Datei geöffnet werden. Links auf diese können unter anderem
per Spam-Mail verbreitet werden.
Auswirkungen
Da der Angreifer nach einem erfolgreichen Angriff im schlimmsten Fall
beliebigen Code mit den Rechten des angemeldeten Benutzers auf den
betroffenen Systemen ausführen kann, sind alle Daten auf diesen
Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch
ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen
Systeme gefährdet.
Betroffene Systeme
Microsoft Office 2010 Click-to-Run (C2R) for 32-bit editions
Microsoft Office 2010 Click-to-Run (C2R) for 64-bit editions
Microsoft Office 2013 Click-to-Run (C2R) for 32-bit editions
Microsoft Office 2013 Click-to-Run (C2R) for 64-bit editions
Microsoft Office 2016 Click-to-Run (C2R) for 32-bit editions
Microsoft Office 2016 Click-to-Run (C2R) for 64-bit editions
Microsoft Outlook 2007 Service Pack 3
Microsoft Outlook 2010 Service Pack 2 (32-bit editions)
Microsoft Outlook 2010 Service Pack 2 (64-bit editions)
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
Microsoft Outlook 2016 (32-bit edition)
Microsoft Outlook 2016 (64-bit edition)
Abhilfe
Einspielen der zur Verfügung gestellten Updates.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, für alle Arten von
Browser-Plugins (Flash, Java, ...) auf die
"Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen,
sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu
halten.
__________________________________________________________________
Informationsquelle(n):
SecurityTracker Alert 1039012*
http://www.securitytracker.com/id/1039012
SecurityTracker Alert 1039010*
http://www.securitytracker.com/id/1039010
SecurityTracker Alert 1039011*
http://www.securitytracker.com/id/1039011
*... im Gegensatz zu den Microsoft-Advisories ohne Akzeptieren eines
EULA zugänglich
--
// Stephan Richter <richter at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - https://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20170728/015b5d46/attachment.sig>
More information about the Warning
mailing list