2017-1613: Microsoft Office, Office-Produkte und -Dienste: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme

Historie:

Version 1 (2017-09-13 17:25)

Neues Advisory

Betroffene Software

Middleware
Netzwerk
Office
Server
Systemsoftware

Betroffene Plattformen

Apple
Microsoft

Beschreibung:

Eine Schwachstelle in der Windows Font Bibliothek ermöglicht einem entfernten, nicht authentisierten Angreifer das System komplett zu übernehmen. Mehrere Schwachstellen in Uniscribe, Excel sowie Powerpoint ermöglichen einem entfernten, nicht authentifizierten Angreifer beliebigen Programmcode mit den Rechten des angemeldeten Benutzers zur Ausführung zu bringen und, abhängig von dessen Rechten, möglicherweise die vollständige Kontrolle über das betroffene System zu erlangen. Eine Schwachstelle in Uniscribe ermöglicht einem entfernten, nicht authentisierten Angreifer Informationen auszuspähen, die zu einer vollständigen Systemübernahme dienlich sein können. Weitere Schwachstellen ermöglichen einem entfernten, einfach authentisierten Angreifer Cross-Site-Scripting (XSS)-Angriffe. Ein lokaler einfach authentisierter Angreifer kann Informationen ausspähen.

Die Schwachstellen betreffen verschiedene Versionen von Office, Office-Komponenten und -Produkten sowie Office-Diensten und Web Apps auf Windows-Systemen. Die Schwachstelle CVE-2017-8567 betrifft ausschließlich Microsoft Excel für MacOS.

Microsoft adressiert diese Schwachstellen im Rahmen des Microsoft September 2017 Sicherheitsupdates und stellt darin außerdem ein Defense-in-Depth-Update für Microsoft Office sowie Microsoft Outlook zur Verfügung (siehe ADV170015).

Schwachstellen:

CVE-2017-8567

Schwachstelle in Microsoft Excel ermöglicht die Ausführung beliebigen Programmcodes

CVE-2017-8629

Schwachstelle in Microsoft Sharepoint Server ermöglicht Cross-Site-Scripting-Angriffe

CVE-2017-8630 CVE-2017-8631 CVE-2017-8632 CVE-2017-8744

Schwachstellen in Microsoft Office ermöglichen die Ausführung beliebigen Programmcodes

CVE-2017-8676

Schwachstelle in Windows GDI ermöglicht das Ausspähen von Informationen

CVE-2017-8682

Schwachstelle in Win32k ermöglicht Übernahme des Systems

CVE-2017-8695

Schwachstelle in Uniscribe ermöglicht das Ausspähen von Informationen

CVE-2017-8696

Schwachstelle in Uniscribe ermöglicht die Ausführung beliebigen Programmcodes

CVE-2017-8725

Schwachstelle in Microsoft Publisher ermöglicht die Ausführung beliebigen Programmcodes

CVE-2017-8742 CVE-2017-8743

Schwachstellen in Microsoft Powerpoint ermöglichen die Ausführung beliebigen Programmcodes

CVE-2017-8745

Schwachstelle in Microsoft SharePoint ermöglicht Cross-Site-Scripting-Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.