2245302

Kritische Schwachstelle in Office 2016

11.01.2017 | 09:11 Uhr |

Beim ersten Update-Dienstag des Jahres bietet Microsoft nur schmale Kost. Lediglich drei Sicherheitslücken schließt der Hersteller in seinen Produkten, darunter eine Word-Schwachstelle im aktuellen Office-Paket.

Microsoft beginnt das Jahr 2017 mit einem schlanken Patch Day. Vier Security Bulletins , wahrscheinlich die letzten ihrer Art, behandeln Schwachstellen in Edge und in Office 2016 sowie eine DoS-Lücke in älteren Windows-Versionen. Lediglich die Word-Lücke stuft Microsoft als kritisch ein. Hinzu kommt ein Sicherheits-Update für den Flash Player, der im Internet Explorer (ab Windows 8) und in Edge integriert ist. Der Internet Explorer erhält erstmals seit längerer Zeit kein neues Update.

Ab Februar will Microsoft keine Security Bulletins mehr veröffentlichen. Stattdessen soll ein so genannter „Leitfaden für Sicherheitsupdates“ Informationen über geschlossene Sicherheitslücken und verfügbare Updates liefern. Damit sollen Administratoren und Anwender die anzuzeigenden Informationen gezielt auf ihre Bedürfnisse abstimmen können. Das neue Portal kann bereits als Preview (Vorschau) ausprobiert werden. Es erfüllt seinen Zweck allerdings bislang mehr schlecht als recht. Die Bedienung ist umständlich und die Informationen zu den Sicherheitslücken stimmen oft nicht mit denen in den Security Bulletins überein.

Die Security Bulletins vom 10. Januar 2017

MS17-001 – Edge (hoch)
Im Browser Edge beseitigt Microsoft eine Schwachstelle bei der Durchsetzung der Richtlinien für domänenübergreifende Zugriffe. Ein Angreifer könnte ein potenzielles Opfer auf eine präparierte Web-Seite locken und eingegebene Daten in eine andere Domäne einfügen. Er könnte sich auf diese Weise erweiterte Rechte im Browser verschaffen.

MS17-002 – Office (kritisch)
In Microsoft Office 2016 steckt eine als kritisch eingestufte Word-Lücke, die auch Sharepoint Enterprise Server 2016 betrifft. Bringt ein Angreifer einen Benutzer dazu ein speziell präpariertes Office-Dokument zu öffnen, kann er beliebigen Code einschleusen und im Kontext des Benutzers ausführen. Der Angreifer könnte eine solche Datei etwa als Mail-Anhang versenden.

MS17-003 – Flash Player (kritisch)
Adobe hat ein Sicherheits-Update für den Flash Player bereit gestellt. Dies betrifft auch den Flash Player, der im Internet Explorer (ab Windows 8) und in Edge integriert ist. Auf diesen bezieht sich das Microsoft Security Bulletin, das 12 gestopfte Lücken ausweist. Der Flash Player sollte nach der Update-Installation die neue Versionsnummer 24.0.0.194 tragen.

MS17-004 – LSASS (hoch)
Der Subsystemdienst für die lokale Sicherheitsautorität (Local Security Authority Subsystem Service, LSASS) älterer Windows-Versionen weist eine DoS-Lücke auf (Denial of Service). Betroffen sind Windows 7 und Vista sowie Server 2008 und 2008 R2. Nutzt ein Angreifer diese Schwachstelle aus, führt dies zu einem Neustart des Systems. Die Schwachstelle wurde bereits vorab öffentlich bekannt gemacht, entsprechende Angriffe sind jedoch bislang nicht bekannt.

Außerdem gibt es, wie in jedem Monat, auch im Januar das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.

Bulletin

Risikostufe

Ausnutz-barkeit

Effekt

anfällige Software/Komponente(n)

Neustartnötig?

MS17-001

hoch

1

EoP

Windows 10, Server 2016; Edge

ja

MS17-002

kritisch

1

RCE

Microsoft Office 2016; Word, Sharepoint Enterprise Server

u.U.

MS17-003

kritisch

RCE

Windows 8.1, 10, RT, Server 2012, 2012 R2, 2016; integrierter Flash Player (IE, Edge)

ja

MS17-004

hoch

3

DoS

Windows Vista,7 Server 2008, 2008 R2; LSASS

ja

u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
DoS – Denial of Service: Dienstverweigerung / Software-Absturz
SFB – Security Feature Bypass: Umgehen einer Sicherheitsfunktion

Ausnutzbarkeit:
0 – wird bereits ausgenutzt
1 – Ausnutzung wahrscheinlich
2 – Ausnutzung weniger wahrscheinlich
3 – Ausnutzung unwahrscheinlich


0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2245302