2016-0248: Microsoft Office, Microsoft Sharepoint: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes mit Benutzerrechten

Historie:

Version 1 (2016-02-10 15:50)

Neues Advisory

Version 2 (2016-02-17 12:08)

Microsoft aktualisiert das Microsoft Security Bulletin MS16-015, allerdings nur in der englischen Variante, um über die Verfügbarkeit der Sicherheitsupdates 3134241 für Microsoft Office 2016 für Mac und Sicherheitsupdate 3137721 für Microsoft Office für Mac 2011 zu informieren. Über die referenzierten, korrespondierenden Microsoft Knowledge Base Article sind weitere Informationen verfügbar.

Betroffene Software

Middleware
Netzwerk
Office
Server
Systemsoftware

Betroffene Plattformen

Apple
Microsoft

Beschreibung:

Mehrere Schwachstellen in Microsoft Office ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausführen von Programmcode mit den Rechten des Benutzers, wenn dieser eine speziell präparierte Datei öffnet. Eine weitere Schwachstelle in Microsoft Sharepoint ermöglicht einem entfernten, einfach authentifizierten Angreifer einen Cross-Site-Scripting (XSS)-Angriff. Diese Schwachstellen betreffen jeweils verschiedene Versionen von Office, Office-Komponenten und Sharepoint (siehe Microsoft Sicherheitshinweise MS16-015 - Microsoft Office).

Microsoft weist darauf hin, dass die Schwachstellen CVE-2016-0022, CVE-2016-0052 und CVE-2016-0053 auch durch die Vorschauansicht einer Datei und damit in nicht explizit genannten Microsoft-Produkten ausgenutzt werden können.

Die Updates 3137721 für Microsoft Office für Mac 2011 und 3134241 für Microsoft Office 2016 für Mac, welche die Schwachstellen CVE-2016-0022, CVE-2016-0052 und CVE-2016-0054 betreffen, sind noch nicht verfügbar. Das Update 3114724 für Microsoft Office 2013 RT SP1 ist über Windows Update verfügbar.

Schwachstellen:

CVE-2016-0022 CVE-2016-0052 CVE-2016-0053 CVE-2016-0054 CVE-2016-0055 CVE-2016-0056

Schwachstellen in Microsoft Office erlauben Ausführen beliebigen Programmcodes mit Benutzerrechten

CVE-2016-0039

Schwachstelle in Microsoft SharePoint ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.