Microsoft hat neue Sicherheitsempfehlungen veröffentlicht, die Schwachstellen in Office, 3D Viewer und Paint 3D betreffen. Sie stammen aus einer anfälligen AutoDesk-Programmbibliothek.

In neueren Versionen der Microsoft Office-Familie sowie in Paint 3D stecken mehrere, als hohes Risiko eingestufte Sicherheitslücken. Microsoft hat diesbezüglich eine Sicherheitsempfehlung veröffentlicht. Darin kündigt Microsoft die Verfügbarkeit entsprechender Sicherheits-Updates an. Eine weitere Sicherheitsempfehlung betrifft OpenSSL. Ein Update für Edge (Chromium-basiert) hat es kürzlich auch noch gegeben.
Das könnte Sie interessieren:
Windows 10 legal für 36 Euro kaufen
In der
Sicherheitsempfehlung ADV200004
berichtet Microsoft über eine an dieser Stelle nicht genannte Anzahl Sicherheitslücken, die aus der AutoDesk FBX-Bibliothek stammen. Diese dient zur Verarbeitung dreidimensionaler Objekte und kommt auch in Paint 3D zum Einsatz. Betroffen sind zudem Office 2016 und 2019 sowie Office 365 ProPlus. Ein Angreifer, der einen Benutzer dazu bringt, eine speziell präparierte Datei mit 3D-Inhalten zu öffnen, könnte auf diesem Wege beliebigen Code einschleusen und mit Benutzerrechten ausführen.
AutoDesk hat dazu bereits in der Vorwoche die
Sicherheitsempfehlung ADSK-SA-2020-0002
veröffentlicht. Demnach stecken im Autodesk FBX-SDK (Software Developement Kit) sechs Schwachstellen (CVE-2020-7080 bis -7085). Drei dieser Lücken eignen sich, um eingeschleusten Code auszuführen, die andere drei Schwachstellen sind DoS-Lücken (Denial of Service). Unter den betroffenen AutoDesk-Produkten sind Maya, 3ds Max und AutoCAD.
[Update]
Microsoft hat die Sicherheitsempfehlung ADV200004 aktualisiert. Demnach ist auch 3D Viewer betroffen. Falls Sie sich fragen, wo denn die Updates bleiben: Microsoft hat die Updates für anfällige Office-Versionen bereits beim Patch Day im März ausgeliefert. Auch die Apps Paint 3D und 3D Viewer sind schon aktualisiert. Paint 3D ist ab Version 6.2003.4017.0 gefixt, 3D Viewer ab Version 7.2003.11022.0.
[/Update]
Microsofts
Sicherheitsempfehlung ADV200007
warnt vor einer öffentlich bekannt geworden DoS-Lücke in OpenSSL 1.1.1d und neuer. In OpenSSL 1.1.1g ist die Schwachstelle beseitigt. Laut Microsoft ist Windows nicht betroffen. Der Grund für Microsofts Warnung ist vielmehr, dass Dritte virtuelle Maschinen auf der Azure-Plattform betreiben könnten, in denen Linux oder andere Software läuft, die OpenSSL einsetzen.
Mit Edge (Chromium-basiert) 81.0.416.58 hat Microsoft seien neuen Browser bereits in der letzten Woche auf den gleichen Sicherheitsstand wie die zu diesem Zeitpunkt aktuelle Chrome-Version gebracht. Google hatte am 15. April ein Update auf Chrome 81.0.4044.113 bereitgestellt, um eine Sicherheitslücke zu schließen, die Google als kritisch einstuft. Allerdings hat Google gestern Abend ein
neues Update
auf Chrome 81.0.4044.122 veröffentlicht, das acht Lücken stopft.
[Update]
Microsoft Edge 81.0.416.64 bringt den Browser auf den aktuellen Sicherheitsstand.
Vivaldi
ist inzwischen in der neuen Version 3.0 (1874.32) auf Basis von Chromium 81.0.4044.123 erschienen.
[/Update]