Kurzinfo CB-K17/1947 Update 1

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Microsoft Office, Office-Produkte und -Dienste: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme
Datum: 23.11.2017
Software: Microsoft Excel 2007 SP3, Microsoft Excel 2010 SP2 x64, Microsoft Excel 2010 SP2 x86, Microsoft Excel 2013 RT SP1, Microsoft Excel 2013 SP1 x64, Microsoft Excel 2013 SP1 x86, Microsoft Excel 2016 Mac OS, Microsoft Excel 2016 x64, Microsoft Excel 2016 x86, Microsoft Excel Viewer 2007 SP3, Microsoft Office 2007 SP3, Microsoft Office 2010 SP2 x64, Microsoft Office 2010 SP2 x86, Microsoft Office 2013 SP1 x64, Microsoft Office 2013 SP1 x86, Microsoft Office 2016 x64, Microsoft Office 2016 x86, Microsoft Office Compatibility Pack SP3, Microsoft Project Server 2013 Sp1, Microsoft Sharepoint Server Enterprise 2016, Microsoft Word 2007 SP3, Microsoft Word 2010 SP2 x64, Microsoft Word 2010 SP2 x86
Plattform: Apple macOS, Microsoft Windows , Microsoft Windows RT
Auswirkung: Ausführen beliebigen Programmcodes mit Benutzerrechten
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2017-11854, CVE-2017-11876, CVE-2017-11877, CVE-2017-11878, CVE-2017-11882, CVE-2017-11884
Bezug: Microsoft Leitfaden für Sicherheitsupdates (Security Guidance)
Revisions Historie
  • Version: 2

    Microsoft informiert in einem Knowledge Base Artikel über einen Workaround, mit dem die Schwachstelle CVE-2017-11882 umgangen werden kann. Der Artikel beschreibt Möglichkeiten zur Deaktivierung des Formel-Editor 3.0.

  • Version: 1

    Neues Advisory

Beschreibung

Microsoft Excel ist ein weit verbreitetes Tabellenkalkulationsprogramm.

Microsoft Excel Viewer ist eine Anwendung zum Öffnen, Anzeigen und Drucken von Excel-Dokumenten ohne Installation von MS Excel.

Microsoft Office ist ein Paket von Bürosoftware für die Betriebssysteme Microsoft Windows und Mac OS. Für unterschiedliche Aufgabenstellungen werden verschiedene sogenannte Editionen angeboten, die sich in den enthaltenen Komponenten, dem Preis und der Lizenzierung unterscheiden.

Der Microsoft Office Compatibility Pack ermöglicht älteren MS Office Versionen das Öffnen, Editieren und Speichern von Dokumenten, die mit MS Office 2007 und 2010 erstellt wurden.

Microsoft Office Project Server ist eine Server-Lösung für das Projektmanagement, die als Grundlage Microsoft SharePoint benutzt und für die Benutzerschnittstelle entweder Microsoft Project als Client oder einen Web-Browser, der mit der Project Web App (PWA)-Komponente verbunden wird, unterstützt.

SharePoint Server ist ein Produkt der Firma Microsoft für die virtuelle Zusammenarbeit von Benutzern unter einer Weboberfläche mit einer gemeinsamen Daten- und Informationsablage.

Microsoft Word ist die Textverarbeitungssoftware des MS Office-Paketes.

Mehrere Schwachstellen in Office sowie Excel ermöglichen einem entfernten, nicht authentifizierten Angreifer beliebigen Programmcode mit den Rechten des angemeldeten Benutzers zur Ausführung zu bringen und, abhängig von dessen Rechten, möglicherweise die vollständige Kontrolle über das betroffene System zu erlangen. Zwei weitere Schwachstellen in Microsoft Project bzw. Excel ermöglichen eine Privilegieneskalation und die Umgehung von Sicherheitsvorkehrungen. Die Schwachstellen betreffen verschiedene Versionen von Office, Office-Komponenten und -Produkten sowie Office-Diensten und Web Apps auf Windows-Systemen. Microsoft adressiert diese Schwachstellen im Rahmen der Microsoft November 2017 Sicherheitsupdates. Diese können im Microsoft Security Update Guide über die Kategorie 'Microsoft Office' identifiziert werden. Weiterhin stellt Microsoft ein Defense-in-Depth-Update für Microsoft Office zur Verfügung (siehe ADV170020).

  1. Microsoft Leitfaden für Sicherheitsupdates (Security Guidance)

  2. Hinweise zum Microsoft Office 'Defense in Depth' Update

  3. Microsoft Sicherheitsupdates im November 2017

  4. Schwachstelle CVE-2017-11854 (NVD)

  5. Schwachstelle CVE-2017-11876 (NVD)

  6. Schwachstelle CVE-2017-11877 (NVD)

  7. Schwachstelle CVE-2017-11878 (NVD)

  8. Schwachstelle CVE-2017-11882 (NVD)

  9. Schwachstelle CVE-2017-11884 (NVD)

  10. Microsoft Knowledge Base: Formel-Editor 3.0 deaktivieren

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.