2017-1782: Microsoft Office, Office-Produkte und -Dienste: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes mit den Rechten des Anwenders
Historie:
- Version 1 (2017-10-11 17:04)
- Neues Advisory
- Version 2 (2018-05-09 13:22)
- Microsoft informiert in einer Aktualisierung seines Sicherheitshinweises ADV170017 über neue Updates für die unterstützten Editionen von Microsoft Office 2010, Microsoft Office 2013 und Microsoft Office 2016 und empfiehlt ferner seinen Kunden den Anweisungen unter FAQ #1 zu folgen. Außerdem wurde FAQ #2 bezüglich der sicheren Verwendung von selbst extrahierenden Installationsprogrammen für Microsoft Office ergänzt.
- Version 3 (2018-07-11 13:06)
- Microsoft informiert in einer Aktualisierung seines Sicherheitshinweises ADV170017 über neue Updates für die unterstützten Editionen von Microsoft Office 2010, Microsoft Office 2013 und Microsoft Office 2016 und empfiehlt ferner seinen Kunden den Anweisungen unter FAQ #1 zu folgen.
Betroffene Software
Middleware
Netzwerk
Office
Server
Systemsoftware
Betroffene Plattformen
Apple
Microsoft
Beschreibung:
Mehrere Schwachstellen in Microsoft Office sowie Microsoft Outlook ermöglichen einem entfernten, nicht authentifizierten Angreifer beliebigen Programmcode mit den Rechten des angemeldeten Benutzers zur Ausführung zu bringen und, abhängig von dessen Rechten, möglicherweise die vollständige Kontrolle über das betroffene System zu erlangen. Die Schwachstelle CVE-2017-11826 wird hier bereits aktiv ausgenutzt. Eine Schwachstelle in Microsoft Outlook (CVE-2017-11776), über die auch bereits von Dritten berichtet wurde, ermöglicht einem entfernten, nicht authentisierten Angreifer die Umgehung von Sicherheitsvorkehrungen. Einem lokalen, einfach authentisierten Angreifer ermöglicht eine Schwachstelle in Skype das Erlangen von Nutzerrechten bis hin zur vollständigen Kontrolle über das System. Drei Schwachstellen in Microsoft Sharepoint ermöglichen einem entfernten, einfach authentisierten Angreifer die Ausführung beliebigen Programmcodes.
Microsoft adressiert diese Schwachstellen im Rahmen des Microsoft Oktober 2017 Sicherheitsupdates. Diese können im Microsoft Security Update Guide über die Kategorie 'Microsoft Office' identifiziert werden. Außerdem stellt Microsoft ein Defense-in-Depth-Update für Microsoft Office zur Verfügung (siehe ADV170017).
Schwachstellen:
CVE-2017-11774
Schwachstelle in Microsoft Outlook ermöglicht die Ausführung beliebigen ProgrammcodesCVE-2017-11775 CVE-2017-11777 CVE-2017-11820
Schwachstellen in Microsoft Sharepoint ermöglichen Cross-Site-Scripting-AngriffeCVE-2017-11776
Schwachstelle in Microsoft Outlook ermöglicht die Umgehung von SicherheitsvorkehrungenCVE-2017-11786
Schwachstelle in Microsoft Skype ermöglicht das Erlangen von BenutzerrechtenCVE-2017-11825
Schwachstelle in Microsoft Office ermöglicht die Ausführung beliebigen Programmcodes mit den Rechten des AnwendersCVE-2017-11826
Schwachstelle in Microsoft Office ermöglicht die Ausführung beliebigen Programmcodes mit den Rechten des Anwenders
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.