Kurzinfo CB-K17/1715

5 Risiko: sehr hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Microsoft Office, Office-Produkte und -Dienste: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes mit den Rechten des Anwenders
Datum: 11.10.2017
Software: Microsoft Lync 2013 SP1 x64, Microsoft Lync 2013 SP1 x86, Microsoft Office 2016 Click-to-Run (C2R) für 64-Bit-Editionen, Microsoft Office 2016 Click-to-Run (C2R) für 32-Bit-Editionen, Microsoft Office 2016 Mac, Microsoft Office Compatibility Pack SP3, Microsoft Office Online Server 2016, Microsoft Office Web Apps Server 2010 SP2, Microsoft Office Web Apps Server 2013 SP1, Microsoft Office Word Viewer, Microsoft Outlook 2010 SP2 x64, Microsoft Outlook 2010 SP2 x86, Microsoft Outlook 2013 SP1 x86, Microsoft Outlook 2013 SP1 x64, Microsoft Outlook 2013 RT SP1, Microsoft Outlook 2016 x64, Microsoft Outlook 2016 x86, Microsoft Sharepoint Server 2013 SP1, Microsoft Sharepoint Server Enterprise 2016, Microsoft Skype for Business 2016 x64, Microsoft Skype for Business 2016 x86, Microsoft Word 2007 SP3, Microsoft Word 2010 SP2 x64, Microsoft Word 2010 SP2 x86, Microsoft Word 2013 RT SP1, Microsoft Word 2013 SP1 x64, Microsoft Word 2013 SP1 x86, Microsoft Word 2016 x64, Microsoft Word 2016 x86, Microsoft Word Automation Services unter Microsoft SharePoint Server 2010 SP2, Microsoft Word Automation Services unter Microsoft SharePoint Server 2013 SP1
Plattform: Apple Mac OS X, macOS Sierra, Microsoft Windows , Microsoft Windows RT
Auswirkung: Ausführen beliebigen Programmcodes mit Benutzerrechten
Remoteangriff: Ja
Risiko: sehr hoch
CVE Liste: CVE-2017-11774, CVE-2017-11775, CVE-2017-11776, CVE-2017-11777, CVE-2017-11786, CVE-2017-11820, CVE-2017-11825, CVE-2017-11826
Bezug: Microsoft Security Update Guide
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Microsoft Lync ist ein Instant-Messaging-Client für die Kommunikation mit dem MS Lync Server, welcher sich in Microsoft-Exchange-Umgebungen integrieren lässt.

Microsoft Office ist ein Paket von Bürosoftware für die Betriebssysteme Microsoft Windows und Mac OS X. Für unterschiedliche Aufgabenstellungen werden verschiedene sogenannte Editionen angeboten, die sich in den enthaltenen Komponenten, dem Preis und der Lizenzierung unterscheiden.

Der Microsoft Office Compatibility Pack ermöglicht älteren MS Office Versionen das Öffnen, Editieren und Speichern von Dokumenten, die mit MS Office 2007 und 2010 erstellt wurden.

Der Microsoft Office Online Server ermöglicht die Bereitstellung von browserbasierten Office-Produkten.

Microsoft Office Web Apps Server ist die Server gestützte, über Browser nutzbare Version von MS Word, PowerPoint, Excel und OneNote. Konzipiert für Unternehmen mit zentraler Microsoft Server-Infrastruktur.

Der Microsoft Office Word Viewer ist ein eigenständiges Programm zum Lesen und Drucken beliebiger Office Dokumente ohne installiertes Microsoft Office Paket.

Microsoft Outlook ist ein als Personal Information Manager (PIM) bezeichneter E-Mail-Client für Windows und Mac.

SharePoint Server ist ein Produkt der Firma Microsoft für die virtuelle Zusammenarbeit von Benutzern unter einer Weboberfläche mit einer gemeinsamen Daten- und Informationsablage.

Skype for Business (vormals Microsoft Lync) ist eine Kommunikations- und Kollaborationsplattform für Sofortnachrichten, Audio- und Videoanrufen, Online-Meetings und einige weitere Funktionen. Microsoft Skype for Business Basic ist der frei verfügbare Client.

Microsoft Word ist die Textverarbeitungssoftware des MS Office-Paketes.

Word-Automatisierungsdienste ist eine neue SharePoint Server 2010-Technologie, die die unbeaufsichtigte serverseitige Konvertierung von Dokumenten ermöglicht, die von Microsoft Word unterstützt werden.

Mehrere Schwachstellen in Microsoft Office sowie Microsoft Outlook ermöglichen einem entfernten, nicht authentifizierten Angreifer beliebigen Programmcode mit den Rechten des angemeldeten Benutzers zur Ausführung zu bringen und, abhängig von dessen Rechten, möglicherweise die vollständige Kontrolle über das betroffene System zu erlangen. Die Schwachstelle CVE-2017-11826 wird hier bereits aktiv ausgenutzt. Eine Schwachstelle in Microsoft Outlook (CVE-2017-11776), über die auch bereits von Dritten berichtet wurde, ermöglicht einem entfernten, nicht authentisierten Angreifer die Umgehung von Sicherheitsvorkehrungen. Einem lokalen, einfach authentisierten Angreifer ermöglicht eine Schwachstelle in Skype das Erlangen von Nutzerrechten bis hin zur vollständigen Kontrolle über das System. Drei Schwachstellen in Microsoft Sharepoint ermöglichen einem entfernten, einfach authentisierten Angreifer die Ausführung beliebigen Programmcodes. Microsoft adressiert diese Schwachstellen im Rahmen des Microsoft Oktober 2017 Sicherheitsupdates. Diese können im Microsoft Security Update Guide über die Kategorie 'Microsoft Office' identifiziert werden. Außerdem stellt Microsoft ein Defense-in-Depth-Update für Microsoft Office zur Verfügung (siehe ADV170017).

  1. Microsoft Security Update Guide

  2. Hinweise zum Microsoft Office 'Defense in Depth' Update

  3. Microsoft Oktober 2017 Sicherheitsupdates

  4. Schwachstelle CVE-2017-11774 (NVD)

  5. Schwachstelle CVE-2017-11775 (NVD)

  6. Schwachstelle CVE-2017-11776 (NVD)

  7. Schwachstelle CVE-2017-11777 (NVD)

  8. Schwachstelle CVE-2017-11786 (NVD)

  9. Schwachstelle CVE-2017-11820 (NVD)

  10. Schwachstelle CVE-2017-11825 (NVD)

  11. Schwachstelle CVE-2017-11826 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.