Kurzinfo CB-K17/2154
4 | Risiko: hoch |
Titel: | Microsoft Office: Mehrere Schwachstellen ermöglichen u.a. die Übernahme des kompletten Systems |
Datum: | 13.12.2017 |
Software: | Microsoft Office 2010 SP2 x64, Microsoft Office 2010 SP2 x86, Microsoft Office 2013 RT SP1, Microsoft Office 2013 SP1 x64, Microsoft Office 2013 SP1 x86, Microsoft Office 2016 Click-to-Run (C2R) für 64-Bit-Editionen, Microsoft Office 2016 Click-to-Run (C2R) für 32-Bit-Editionen, Microsoft Office 2016 Mac, Microsoft Office 2016 x64, Microsoft Office 2016 x86, Microsoft Sharepoint Server Enterprise 2016, Microsoft Word 2007 SP3, Microsoft Word 2010 SP2 x64, Microsoft Word 2010 SP2 x86, Microsoft Word 2013 SP1 x64, Microsoft Word 2013 SP1 x86, Microsoft Word 2016 x64, Microsoft Word 2016 x86 |
Plattform: | Apple macOS, Microsoft Windows |
Auswirkung: | Ausführen beliebigen Programmcodes mit den Rechten des Dienstes |
Remoteangriff: | Ja |
Risiko: | hoch |
CVE Liste: | CVE-2017-11934, CVE-2017-11935, CVE-2017-11936, CVE-2017-11939 |
Bezug: | Microsoft Leitfaden für Sicherheitsupdates (Security Guidance) |
-
Version: 1
Neues Advisory
Microsoft Office ist ein Paket von Bürosoftware für die Betriebssysteme Microsoft Windows und Mac OS. Für unterschiedliche Aufgabenstellungen werden verschiedene sogenannte Editionen angeboten, die sich in den enthaltenen Komponenten, dem Preis und der Lizenzierung unterscheiden.
SharePoint Server ist ein Produkt der Firma Microsoft für die virtuelle Zusammenarbeit von Benutzern unter einer Weboberfläche mit einer gemeinsamen Daten- und Informationsablage.
Microsoft Word ist die Textverarbeitungssoftware des MS Office-Paketes.
Mehrere Schwachstellen in Microsoft Office ermöglichen es einem entfernten, nicht authentifizierten Angreifer beliebigen Programmcode mit den Rechten des angemeldeten Benutzers zur Ausführung zu bringen und, abhängig von dessen Rechten, möglicherweise die vollständige Kontrolle über das betroffene System zu erlangen. Darüber hinaus kann der Angreifer Informationen ausspähen. Ein entfernter, einfach authentisierter Angreifer kann eine weitere Schwachstelle ausnutzen, um seine Privilegien zu erweitern. Die Schwachstellen betreffen verschiedene Versionen von Office, Office-Komponenten und -Produkten auf Windows-Systemen. Die Schwachstelle CVE-2017-11934 betrifft auch MAC-Systeme. Microsoft adressiert diese Schwachstellen im Rahmen der Microsoft Dezember 2017 Sicherheitsupdates. Diese können im Microsoft Security Update Guide über die Kategorie 'Microsoft Office' identifiziert werden. Weiterhin stellt Microsoft ein Defense in Depth Update für Microsoft Office zur Verfügung (siehe ADV170021), das für alle unterstützten Microsoft Word-Versionen das Dynamic Update Exchange Protocol (DDE) deaktiviert, und gibt darüber hinaus Hinweise zur manuellen Deaktivierung von DDE in anderen Office-Produkten.