Schwerwiegende Sicherheitslücken in Microsoft Office Outlook - Updates verfügbar
28. Juli 2017
Microsoft Office 2010 Click-to-Run (C2R) for 64-bit editions
Microsoft Office 2013 Click-to-Run (C2R) for 32-bit editions
Microsoft Office 2013 Click-to-Run (C2R) for 64-bit editions
Microsoft Office 2016 Click-to-Run (C2R) for 32-bit editions
Microsoft Office 2016 Click-to-Run (C2R) for 64-bit editions
Microsoft Outlook 2007 Service Pack 3
Microsoft Outlook 2010 Service Pack 2 (32-bit editions)
Microsoft Outlook 2010 Service Pack 2 (64-bit editions)
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
Microsoft Outlook 2016 (32-bit edition)
Microsoft Outlook 2016 (64-bit edition)
Informationsquelle(n):
SecurityTracker Alert 1039012*
http://www.securitytracker.com/id/1039012
SecurityTracker Alert 1039010*
http://www.securitytracker.com/id/1039010
SecurityTracker Alert 1039011*
http://www.securitytracker.com/id/1039011
*... im Gegensatz zu den Microsoft-Advisories ohne Akzeptieren eines EULA zugänglich
Beschreibung
Microsoft hat "out-of-band" Sicherheitsupdates für Microsoft Office Outlook veröffentlicht, mit denen als schwerwiegend ("important") bewertete Sicherheitslücken geschlossen werden.
CVE-Nummern: CVE-2017-8571, CVE-2017-8572, CVE-2017-8663
Details
Um die Lücken auszunutzen, muss vom Benutzer eine entsprechend präparierte Datei geöffnet werden. Links auf diese können unter anderem per Spam-Mail verbreitet werden.Auswirkungen
Da der Angreifer nach einem erfolgreichen Angriff im schlimmsten Fall beliebigen Code mit den Rechten des angemeldeten Benutzers auf den betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.Betroffene Systeme
Microsoft Office 2010 Click-to-Run (C2R) for 32-bit editionsMicrosoft Office 2010 Click-to-Run (C2R) for 64-bit editions
Microsoft Office 2013 Click-to-Run (C2R) for 32-bit editions
Microsoft Office 2013 Click-to-Run (C2R) for 64-bit editions
Microsoft Office 2016 Click-to-Run (C2R) for 32-bit editions
Microsoft Office 2016 Click-to-Run (C2R) for 64-bit editions
Microsoft Outlook 2007 Service Pack 3
Microsoft Outlook 2010 Service Pack 2 (32-bit editions)
Microsoft Outlook 2010 Service Pack 2 (64-bit editions)
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
Microsoft Outlook 2016 (32-bit edition)
Microsoft Outlook 2016 (64-bit edition)
Abhilfe
Einspielen der zur Verfügung gestellten Updates.Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
SecurityTracker Alert 1039012*
http://www.securitytracker.com/id/1039012
SecurityTracker Alert 1039010*
http://www.securitytracker.com/id/1039010
SecurityTracker Alert 1039011*
http://www.securitytracker.com/id/1039011
*... im Gegensatz zu den Microsoft-Advisories ohne Akzeptieren eines EULA zugänglich