2502552

Microsoft warnt vor Lücken in Office und Paint 3D [Update]

27.04.2020 | 09:23 Uhr | Frank Ziemann

Microsoft hat neue Sicherheitsempfehlungen veröffentlicht, die Schwachstellen in Office, 3D Viewer und Paint 3D betreffen. Sie stammen aus einer anfälligen AutoDesk-Programmbibliothek.

In neueren Versionen der Microsoft Office-Familie sowie in Paint 3D stecken mehrere, als hohes Risiko eingestufte Sicherheitslücken. Microsoft hat diesbezüglich eine Sicherheitsempfehlung veröffentlicht. Darin kündigt Microsoft die Verfügbarkeit entsprechender Sicherheits-Updates an. Eine weitere Sicherheitsempfehlung betrifft OpenSSL. Ein Update für Edge (Chromium-basiert) hat es kürzlich auch noch gegeben.

Das könnte Sie interessieren: Windows 10 legal für 36 Euro kaufen

In der Sicherheitsempfehlung ADV200004 berichtet Microsoft über eine an dieser Stelle nicht genannte Anzahl Sicherheitslücken, die aus der AutoDesk FBX-Bibliothek stammen. Diese dient zur Verarbeitung dreidimensionaler Objekte und kommt auch in Paint 3D zum Einsatz. Betroffen sind zudem Office 2016 und 2019 sowie Office 365 ProPlus. Ein Angreifer, der einen Benutzer dazu bringt, eine speziell präparierte Datei mit 3D-Inhalten zu öffnen, könnte auf diesem Wege beliebigen Code einschleusen und mit Benutzerrechten ausführen.

AutoDesk hat dazu bereits in der Vorwoche die Sicherheitsempfehlung ADSK-SA-2020-0002 veröffentlicht. Demnach stecken im Autodesk FBX-SDK (Software Developement Kit) sechs Schwachstellen (CVE-2020-7080 bis -7085). Drei dieser Lücken eignen sich, um eingeschleusten Code auszuführen, die andere drei Schwachstellen sind DoS-Lücken (Denial of Service). Unter den betroffenen AutoDesk-Produkten sind Maya, 3ds Max und AutoCAD.

[Update] Microsoft hat die Sicherheitsempfehlung ADV200004 aktualisiert. Demnach ist auch 3D Viewer betroffen. Falls Sie sich fragen, wo denn die Updates bleiben: Microsoft hat die Updates für anfällige Office-Versionen bereits beim Patch Day im März ausgeliefert. Auch die Apps Paint 3D und 3D Viewer sind schon aktualisiert. Paint 3D ist ab Version 6.2003.4017.0 gefixt, 3D Viewer ab Version 7.2003.11022.0. [/Update]


Microsofts Sicherheitsempfehlung ADV200007 warnt vor einer öffentlich bekannt geworden DoS-Lücke in OpenSSL 1.1.1d und neuer. In OpenSSL 1.1.1g ist die Schwachstelle beseitigt. Laut Microsoft ist Windows nicht betroffen. Der Grund für Microsofts Warnung ist vielmehr, dass Dritte virtuelle Maschinen auf der Azure-Plattform betreiben könnten, in denen Linux oder andere Software läuft, die OpenSSL einsetzen.

Mit Edge (Chromium-basiert) 81.0.416.58 hat Microsoft seien neuen Browser bereits in der letzten Woche auf den gleichen Sicherheitsstand wie die zu diesem Zeitpunkt aktuelle Chrome-Version gebracht. Google hatte am 15. April ein Update auf Chrome 81.0.4044.113 bereitgestellt, um eine Sicherheitslücke zu schließen, die Google als kritisch einstuft. Allerdings hat Google gestern Abend ein neues Update auf Chrome 81.0.4044.122 veröffentlicht, das acht Lücken stopft.

[Update] Microsoft Edge 81.0.416.64 bringt den Browser auf den aktuellen Sicherheitsstand.

Vivaldi ist inzwischen in der neuen Version 3.0 (1874.32) auf Basis von Chromium 81.0.4044.123 erschienen. [/Update]

PC-WELT Marktplatz

2502552