Wichtiges Update: Microsoft schließt Zero-Day-Lücke in Office

Microsoft, Office 365, Office Suite, Office 365 Personal Bildquelle: Microsoft
Microsoft hat ein wichtiges Update für die Office-Produkte heraus­gegeben. Es wird Nutzern dringend empfohlen das Update schnell zu installieren, denn die damit behobene Sicherheitslücke wird aktiv ausgenutzt und kann unbefugten Dritten zur Ausführung von Remote-Code verhelfen.
Zum allmonatlichen Patch-Day hat Microsoft auch eine Zero-Day-Lücke in Office behoben. Das Update zur Sicherheitslücke ist zwar nur als "wichtig" eingestuft worden, kann aber zur Kaperung von PCs genutzt werden. Informationen dazu hat der Software-Konzern unter CVE-2018-0802 veröffentlicht. Zudem gibt es einen kurzen Artikel der auf die Sicherheits­updates für Office im Januar eingeht - es ist übrigens schon das zweite große Update für die diversen Office-Versionen.


Die neuen Aktualisierungen warten nun auf die Nutzer, alle betroffenen Versionen haben wir weiter unten in einer Liste aufgeführt. Neben der Zero-Day-Lücke gibt es noch weitere Sicherheitslücken, die Microsoft nun patcht.

Alle betroffenen Office-Pakete

  • Microsoft Office 2007 SP3
  • Microsoft Office 2010 SP2 x64
  • Microsoft Office 2010 SP2 x86
  • Microsoft Office 2013 RT SP1
  • Microsoft Office 2013 SP1 x64
  • Microsoft Office 2013 SP1 x86
  • Microsoft Office 2016 Click-to-Run (C2R) für 64-Bit-Editionen
  • Microsoft Office 2016 Click-to-Run (C2R) für 32-Bit-Editionen
  • Microsoft Office 2016 Mac
  • Microsoft Office 2016 x64
  • Microsoft Office 2016 x86
  • Microsoft Office Compatibility Pack SP3
  • Microsoft Office Online Server 2016
  • Microsoft Office Web Apps 2010 SP2
  • Microsoft Office Web Apps Server 2013 SP1
  • Microsoft Office Word Viewer


CVE-2018-0802 - Microsoft Office, Sicherheitsanfälligkeit durch Speicherbeschädigung
Eine Sicherheitsanfälligkeit bei der Ausführung von Remote-Code besteht in Microsoft Office-Software, wenn die Software Objekte im Speicher nicht ordnungsgemäß handhaben kann. Ein Angreifer, der die Sicherheitslücke erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer die Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen. Benutzer, deren Konten so konfiguriert sind, dass sie weniger Benutzerrechte auf dem System haben, könnten weniger betroffen sein als Benutzer, die mit administrativen Benutzerrechten arbeiten.

Die Ausnutzung der Sicherheitslücke setzt voraus, dass ein Benutzer eine speziell gestaltete Datei mit einer betroffenen Version von Microsoft Office oder Microsoft WordPad öffnet. In einem E-Mail-Angriffsszenario könnte ein Angreifer die Sicherheitslücke ausnutzen, indem er die speziell gestaltete Datei an den Benutzer sendet und den Benutzer davon überzeugt, die Datei zu öffnen. In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten (oder eine kompromittierte Website nutzen, die vom Benutzer bereitgestellte Inhalte akzeptiert oder hostet), die eine speziell gestaltete Datei enthält, die darauf ausgelegt ist, die Sicherheitslücke auszunutzen. Ein Angreifer hätte keine Möglichkeit, Benutzer zum Besuch der Website zu zwingen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, auf einen Link zu klicken, in der Regel über eine Verlockung in einer E-Mail oder Instant Message, und sie dann davon überzeugen, die speziell gestaltete Datei zu öffnen.

Das Sicherheitsupdate behebt die Sicherheitslücke, indem es die Funktionalität des Gleichungseditors entfernt. Weitere Informationen zu dieser Änderung finden Sie in folgendem Artikel:

Knowledge Base: KB4057882
Microsoft, Office 365, Office Suite, Office 365 Personal Microsoft, Office 365, Office Suite, Office 365 Personal Microsoft
Mehr zum Thema: Windows 10
Diese Nachricht empfehlen
Kommentieren9
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 06:05 Uhr ELUTENG SATA auf USB 3 Adapter 5 Gbps USB zu SATA Festplatte Konverter für 2.5 Zoll Festplatten Laufwerke SSD/HDD Adapter SATA 3.0 Cable für Windows und Mac OSELUTENG SATA auf USB 3 Adapter 5 Gbps USB zu SATA Festplatte Konverter für 2.5 Zoll Festplatten Laufwerke SSD/HDD Adapter SATA 3.0 Cable für Windows und Mac OS
Original Amazon-Preis
8,59
Im Preisvergleich ab
?
Blitzangebot-Preis
7,30
Ersparnis zu Amazon 15% oder 1,29

Tipp einsenden