Kurzinfo CB-K17/2154

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Microsoft Office: Mehrere Schwachstellen ermöglichen u.a. die Übernahme des kompletten Systems
Datum: 13.12.2017
Software: Microsoft Office 2010 SP2 x64, Microsoft Office 2010 SP2 x86, Microsoft Office 2013 RT SP1, Microsoft Office 2013 SP1 x64, Microsoft Office 2013 SP1 x86, Microsoft Office 2016 Click-to-Run (C2R) für 64-Bit-Editionen, Microsoft Office 2016 Click-to-Run (C2R) für 32-Bit-Editionen, Microsoft Office 2016 Mac, Microsoft Office 2016 x64, Microsoft Office 2016 x86, Microsoft Sharepoint Server Enterprise 2016, Microsoft Word 2007 SP3, Microsoft Word 2010 SP2 x64, Microsoft Word 2010 SP2 x86, Microsoft Word 2013 SP1 x64, Microsoft Word 2013 SP1 x86, Microsoft Word 2016 x64, Microsoft Word 2016 x86
Plattform: Apple macOS, Microsoft Windows
Auswirkung: Ausführen beliebigen Programmcodes mit den Rechten des Dienstes
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2017-11934, CVE-2017-11935, CVE-2017-11936, CVE-2017-11939
Bezug: Microsoft Leitfaden für Sicherheitsupdates (Security Guidance)
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Microsoft Office ist ein Paket von Bürosoftware für die Betriebssysteme Microsoft Windows und Mac OS. Für unterschiedliche Aufgabenstellungen werden verschiedene sogenannte Editionen angeboten, die sich in den enthaltenen Komponenten, dem Preis und der Lizenzierung unterscheiden.

SharePoint Server ist ein Produkt der Firma Microsoft für die virtuelle Zusammenarbeit von Benutzern unter einer Weboberfläche mit einer gemeinsamen Daten- und Informationsablage.

Microsoft Word ist die Textverarbeitungssoftware des MS Office-Paketes.

Mehrere Schwachstellen in Microsoft Office ermöglichen es einem entfernten, nicht authentifizierten Angreifer beliebigen Programmcode mit den Rechten des angemeldeten Benutzers zur Ausführung zu bringen und, abhängig von dessen Rechten, möglicherweise die vollständige Kontrolle über das betroffene System zu erlangen. Darüber hinaus kann der Angreifer Informationen ausspähen. Ein entfernter, einfach authentisierter Angreifer kann eine weitere Schwachstelle ausnutzen, um seine Privilegien zu erweitern. Die Schwachstellen betreffen verschiedene Versionen von Office, Office-Komponenten und -Produkten auf Windows-Systemen. Die Schwachstelle CVE-2017-11934 betrifft auch MAC-Systeme. Microsoft adressiert diese Schwachstellen im Rahmen der Microsoft Dezember 2017 Sicherheitsupdates. Diese können im Microsoft Security Update Guide über die Kategorie 'Microsoft Office' identifiziert werden. Weiterhin stellt Microsoft ein Defense in Depth Update für Microsoft Office zur Verfügung (siehe ADV170021), das für alle unterstützten Microsoft Word-Versionen das Dynamic Update Exchange Protocol (DDE) deaktiviert, und gibt darüber hinaus Hinweise zur manuellen Deaktivierung von DDE in anderen Office-Produkten.

  1. Microsoft Sicherheitsupdates im Dezember 2017

  2. Schwachstelle CVE-2017-11935 (Microsoft)

  3. Microsoft Leitfaden für Sicherheitsupdates (Security Guidance)

  4. Microsoft Office Defense in Depth Update ADV170021

  5. Schwachstelle CVE-2017-11934 (Microsoft)

  6. Schwachstelle CVE-2017-11934 (NVD)

  7. Schwachstelle CVE-2017-11935 (NVD)

  8. Schwachstelle CVE-2017-11936 (Microsoft)

  9. Schwachstelle CVE-2017-11936 (NVD)

  10. Schwachstelle CVE-2017-11939 (Microsoft)

  11. Schwachstelle CVE-2017-11939 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.