Microsoft hat neue Sicherheitsupdates für Office auf den Weg gebracht. Dazu gehören Aktualisierungen für Office 2016, Office 2013, sowie für Microsoft SharePoint Server - Microsoft ist die Ausnutzung der Schwachstellen in freier Wildbahn bekannt.
Daher sollten Nutzer der Office-Produkte schnellstmöglich überprüfen, ob sie bereits die neueste Version geladen haben oder ob ein Update zur Verfügung steht. Die Ausnutzung in freier Wildbahn bedeutet immer eine größere Gefahr, auch für den einzelnen Nutzer, denn Cyberkriminelle greifen solche Schwachstellen mit verschiedenen Mitteln wie Phishing und Spam an. Daher warnt nun auch bereits das Deutsche Bundesamt für Sicherheit in der Informationstechnik vor den Schwachstellen und empfiehlt die zeitnahe Installation der bereitgestellten Sicherheitsupdates, um die Lücken zu schließen.
In der Meldung des BürgerCERT heißt es:
Betroffen sind alle aktuellen Windows Versionen, der Edge Browser, verschiedene Office Programme, Microsoft Dynamics 365, Microsoft Visual Studio, Microsoft Exchange Server und die Malware Protection Engine.
Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Schadcode mit den Rechten des angemeldeten Benutzers oder sogar mit administrativen Rechten auszuführen, um Sicherheitsvorkehrungen zu umgehen, um den Rechner des Opfers zum Absturz zu bringen (Denial of Service) und um Informationen offenzulegen oder zu manipulieren. Hierzu muss vom Benutzer in einigen Fällen eine speziell manipulierte Datei, E-Mail oder Webseite geöffnet werden. Der Benutzer kann z. B. in einer E-Mail oder beim Besuch einer Webseite dazu aufgefordert werden.
Laut den zur Verfügung gestellten Release-Notes wurden mehrere Schwachstellen der verschiedenen Schweregrade behoben. Unter anderem geht es um mögliche Remotecodeausführung in Microsoft Excel. Entsprechende Sicherheitslücken wurden in der Vergangenheit häufig rasch ausgenutzt. Bei den nun gefixten Sicherheitslücken soll es sich vorrangig um Schwachstellen handeln, die mit hohem Risiko bewertet wurden und die lokal ausgenutzt werden können.
Derzeit fehlen allerdings die genauen weiterführenden Informationen zu den Änderungen. Microsoft hat die Update-Pakete zwar schon im Update-Katalog gelistet und auch die dazugehörigen Artikel für die einzelnen Schwachstellen (CVE-Archiv) veröffentlicht, doch dabei wurden noch nicht zu allen Updates alle Informationen hinterlegt. Die Updates befinden sich in der Verteilung. Bisher ist noch von keinen bekannten Problemen zu lesen. Auch weitere Details zu den Aktualisierungen hat Microsoft bislang nicht veröffentlicht.
Quelle; winfuture
Daher sollten Nutzer der Office-Produkte schnellstmöglich überprüfen, ob sie bereits die neueste Version geladen haben oder ob ein Update zur Verfügung steht. Die Ausnutzung in freier Wildbahn bedeutet immer eine größere Gefahr, auch für den einzelnen Nutzer, denn Cyberkriminelle greifen solche Schwachstellen mit verschiedenen Mitteln wie Phishing und Spam an. Daher warnt nun auch bereits das Deutsche Bundesamt für Sicherheit in der Informationstechnik vor den Schwachstellen und empfiehlt die zeitnahe Installation der bereitgestellten Sicherheitsupdates, um die Lücken zu schließen.
In der Meldung des BürgerCERT heißt es:
Betroffen sind alle aktuellen Windows Versionen, der Edge Browser, verschiedene Office Programme, Microsoft Dynamics 365, Microsoft Visual Studio, Microsoft Exchange Server und die Malware Protection Engine.
Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Schadcode mit den Rechten des angemeldeten Benutzers oder sogar mit administrativen Rechten auszuführen, um Sicherheitsvorkehrungen zu umgehen, um den Rechner des Opfers zum Absturz zu bringen (Denial of Service) und um Informationen offenzulegen oder zu manipulieren. Hierzu muss vom Benutzer in einigen Fällen eine speziell manipulierte Datei, E-Mail oder Webseite geöffnet werden. Der Benutzer kann z. B. in einer E-Mail oder beim Besuch einer Webseite dazu aufgefordert werden.
Folgende Updates stehen zur Verfügung:
- Office 2016
- Excel 2016:
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
- Office 2016:
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
- Office 2016:
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
- Office 2013
- Excel 2013:
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
- Office 2013:
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
- Office 2013:
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
- SharePoint Server 2019
- Office Online Server:
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
- Microsoft SharePoint Server 2013 / Office Web Apps Server
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
- SharePoint Enterprise Server 2013:
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
Laut den zur Verfügung gestellten Release-Notes wurden mehrere Schwachstellen der verschiedenen Schweregrade behoben. Unter anderem geht es um mögliche Remotecodeausführung in Microsoft Excel. Entsprechende Sicherheitslücken wurden in der Vergangenheit häufig rasch ausgenutzt. Bei den nun gefixten Sicherheitslücken soll es sich vorrangig um Schwachstellen handeln, die mit hohem Risiko bewertet wurden und die lokal ausgenutzt werden können.
Derzeit fehlen allerdings die genauen weiterführenden Informationen zu den Änderungen. Microsoft hat die Update-Pakete zwar schon im Update-Katalog gelistet und auch die dazugehörigen Artikel für die einzelnen Schwachstellen (CVE-Archiv) veröffentlicht, doch dabei wurden noch nicht zu allen Updates alle Informationen hinterlegt. Die Updates befinden sich in der Verteilung. Bisher ist noch von keinen bekannten Problemen zu lesen. Auch weitere Details zu den Aktualisierungen hat Microsoft bislang nicht veröffentlicht.
Quelle; winfuture