2017-2029: Microsoft Office, Office-Produkte und -Dienste: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme
Historie:
- Version 1 (2017-11-15 13:23)
- Neues Advisory
- Version 2 (2017-11-23 10:42)
- Microsoft informiert in einem Knowledge Base Artikel über einen Workaround, mit dem die Schwachstelle CVE-2017-11882 umgangen werden kann. Der Artikel beschreibt Möglichkeiten zur Deaktivierung des Formel-Editor 3.0.
- Version 3 (2017-11-30 13:36)
- Microsoft stellt nun zusätzliche Sicherheitsupdates für Microsoft Office 2007 und Microsoft Office 2010 bereit, um die Schwachstelle CVE-2017-11882 zu beheben. Microsoft Office 2013 und 2016 waren bereits durch das reguläre Update am Patchtag geschützt.
Betroffene Software
Middleware
Netzwerk
Office
Systemsoftware
Betroffene Plattformen
Apple
Microsoft
Beschreibung:
Mehrere Schwachstellen in Office sowie Excel ermöglichen einem entfernten, nicht authentifizierten Angreifer beliebigen Programmcode mit den Rechten des angemeldeten Benutzers zur Ausführung zu bringen und, abhängig von dessen Rechten, möglicherweise die vollständige Kontrolle über das betroffene System zu erlangen. Zwei weitere Schwachstellen in Microsoft Project bzw. Excel ermöglichen eine Privilegieneskalation und die Umgehung von Sicherheitsvorkehrungen.
Die Schwachstellen betreffen verschiedene Versionen von Office, Office-Komponenten und -Produkten sowie Office-Diensten und Web Apps auf Windows-Systemen.
Microsoft adressiert diese Schwachstellen im Rahmen der Microsoft November 2017 Sicherheitsupdates. Diese können im Microsoft Security Update Guide über die Kategorie 'Microsoft Office' identifiziert werden. Weiterhin stellt Microsoft ein Defense-in-Depth-Update für Microsoft Office zur Verfügung (siehe ADV170020).
Schwachstellen:
CVE-2017-11854
Schwachstelle in Microsoft Office ermöglicht Übernahme des SystemsCVE-2017-11876
Schwachstelle in Microsoft Project Server erlaubt PrivilegieneskalationCVE-2017-11877
Schwachstelle in Microsoft Excel ermöglicht Umgehung von SicherheitsvorkehrungenCVE-2017-11878
Schwachstelle in Microsoft Excel ermöglicht Übernahme des SystemsCVE-2017-11882
Schwachstelle in Microsoft Office ermöglicht Übernahme des SystemsCVE-2017-11884
Schwachstelle in Microsoft Excel Click-and-Run ermöglicht Übernahme des Systems
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.