742574

Microsoft stopft kritische Lücken in Office

10.11.2010 | 09:36 Uhr |

Microsoft hat zum Patch Day im November insgesamt drei Sicherheitsupdates veröffentlicht, mit denen unter anderem Lücken in Office geschlossen werden.

Dem Mega-Patch-Day im Oktober, als Microsoft insgesamt 49 Lücken in Windows, IE & Co . stopfte, folgt im November nun ein ruhiger Patch-Day. Microsoft hat zum neuen Patch-Day lediglich drei Sicherheitsbulletins veröffentlicht, in denen von insgesamt 11 Sicherheitslücken in Microsoft Office und Microsoft Forefront United Access Gateway berichtet wird, die mit Sicherheitsupdates gestopft werden. Für Windows gibt es in diesem Monat dagegen keinerlei sicherheitsrelevanten Updates. Zum Patch-Day hat Microsoft außerdem wie üblich das "Windows-Tool zum Entfernen bösartiger Software" auf eine neue Version aktualisiert .

Das erste Sicherheitsbulletin beschreibt fünf kritische Sicherheitslücken, die auch in den neuen Office-Versionen Office 2010 für Windows und Office 2011 für Mac stecken. Bei der Mac-Fassung wird der Schweregrad der Lücken mit "hoch" angegeben.

Die zum Patch-Day im November erschienenen Sicherheits-Bulletins im Überblick:

Microsoft Security Bulletin MS10-087
Sicherheitsanfälligkeiten in Microsoft Office können Remotecodeausführung ermöglichen (2423930)
Schweregrad: kritisch
Betroffene Windows-Software: Office XP SP3, 2003 SP3, 2007 AP2, 2010 (32- & 64-Bit)
Betroffene Mac-Software: Office 2004, 2008, 2011. Open XML-Dateikonverter für Mac
Dieses Sicherheitsupdate behebt eine öffentlich gemeldete Sicherheitsanfälligkeit und vier vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft Office. Die schwerwiegendste Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete RTF-E-Mail-Nachricht öffnet oder in der Vorschau anzeigt. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
Weitere Infos zum Sicherheitsbulletin MS10-087  

Microsoft Security Bulletin MS10-088
Sicherheitsanfälligkeiten in Microsoft PowerPoint können Remotecodeausführung ermöglichen (2293386)
Schweregrad: hoch
Betroffene Windows-Software: Office XP SP3, 2003 SP3
Betroffene Mac-Software: Office 2004
Andere Software: Microsoft PowerPoint Viewer Service Pack 2
Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft Office, die Remotecodeausführung ermöglichen können, wenn ein Benutzer eine speziell gestaltete PowerPoint-Datei öffnet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann vollständige Kontrolle über das betroffene System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
Weitere Infos zum Sicherheitsbulletin MS10-088

Microsoft Security Bulletin MS10-089
Sicherheitsanfälligkeiten in Forefront Unified Access Gateway (UAG) können Erhöhung von Berechtigungen ermöglichen (2316074) Schweregrad: hoch
Betroffene Software: Forefront Unified Access Gateway 2010
Dieses Sicherheitsupdate behebt vier vertraulich gemeldete Sicherheitsanfälligkeiten in Forefront Unified Access Gateway (UAG). Die schwerste dieser Sicherheitsanfälligkeiten kann Erhöhung von Berechtigungen ermöglichen, wenn ein Benutzer mit einer speziell gestalteten URL eine betroffene Website besucht. Ein Angreifer kann Benutzer jedoch nicht zum Besuch einer Website zwingen. Er muss den Benutzer zum Besuch dieser Website verleiten. Zu diesem Zweck wird der Benutzer meist dazu gebracht, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
Weitere Infos zum Sicherheitsbulletin MS10-089

0 Kommentare zu diesem Artikel
742574