Patchday: Microsoft sichert Office gegen aktive Angriffe ab

Wer .NET Framework, Edge, Internet Explorer, Office, Silverlight, Visual Studio for Mac oder Windows in verschiedenen Client- und Server-Versionen einsetzt, sollte sicherstellen, dass die kürzlich veröffentlichten Sicherheitsupdates installiert sind. Microsoft schließt damit mehrere Sicherheitslücken – zehn der Updates ordnet der Konzern als "kritisch" ein, zwei sind als "wichtig" eingestuft.

Zu beachten ist, dass der Support von Windows Vista ausgelaufen ist und das Betriebssystem ab sofort keine Sicherheitsupdates mehr erhält. Als Nächstes endet am 14. Januar 2020 der Support für Windows 7.

Als besonders kritisch gilt eine Lücke in Office, die derzeit im Fokus von Angreifern steht. Um die Schwachstelle auszunutzen, muss ein Opfer lediglich ein präpariertes Word-Dokument öffnen; anschließend kann ein Angreifer den Computer übernehmen. Momentan sind Millionen Spam-Mails mit entsprechenden Dokumenten in Umlauf.

Mehr Lücken

Die weiteren als kritisch eingestuften Schwachstellen werden derzeit laut Microsoft nicht attackiert. Die Lücken klaffen unter anderem in Edge, Internet Explorer und Outlook. Im schlimmsten Fall können Angreifer mit vergleichsweise wenig Aufwand Schadcode aus der Ferne auf Computer schieben und ausführen. In der Regel sind dafür über die Attacke ausgelöste Speicherfehler verantwortlich.

Microsoft stellt zudem das aktuelle Sicherheitsupdate für Adobes Flash bereit. Edge und der Internet Explorer 11 für Windows 8.1 und 10 bekommen das Update automatisch. Ein Großteil der als wichtig eingestuften Lücken klaffen in Office und Windows. Setzen Angreifer dort an, können sie sich höhere Rechte erschleichen oder Informationen abziehen. Eine derartige Lücke wird derzeit von Angreifern ausngenutzt.

• CVE-2017-0106 | Outlook Remote Code Execution Vulnerability Kritisch
• CVE-2017-0158 | Scripting Engine Memory Corruption Vulnerability Kritisch
• CVE-2017-0160 | .NET Remote Code Execution Vulnerability Kritisch
• CVE-2017-0199 | Office Remote Code Execution Vulnerability Kritisch Angriffe
• CVE-2017-0200 | Microsoft Edge Memory Corruption Vulnerability Kritisch
• CVE-2017-0201 | Scripting Engine Memory Corruption Vulnerability Kritisch
• CVE-2017-0202 | Internet Explorer Memory Corruption Vulnerability Kritisch
• CVE-2017-0205 | Microsoft Edge Memory Corruption Vulnerability Kritisch
• CVE-2017-0155 | Windows Graphics Elevation of Privilege Vulnerability Wichtig
• CVE-2017-0156 | Windows Graphics Component Elevation of Privilege Wichtig
• CVE-2017-0165 | Windows Elevation of Privilege Vulnerability Wichtig
• CVE-2017-0166 | LDAP Elevation of Privilege Vulnerability Wichtig
• CVE-2017-0167 | Windows Kernel Information Disclosure Vulnerability Wichtig
• CVE-2017-0188 | Win32k Information Disclosure Vulnerability Wichtig
• CVE-2017-0189 | Win32k Elevation of Privilege Vulnerability Wichtig
• CVE-2017-0192 | ATMFD.dll Information Disclosure Vulnerability Wichtig
• CVE-2017-0194 | Microsoft Office Memory Corruption Vulnerability Wichtig
• CVE-2017-0197 | Office DLL Loading Vulnerability Wichtig
• CVE-2017-0204 | Microsoft Office Security Feature Bypass Vulnerability Wichtig
• CVE-2017-0210 | Internet Explorer Elevation of Privilege Wichtig Angriffe
• CVE-2017-0211 | Windows OLE Elevation of Privilege Vulnerability Wichtig

[UPDATE, 12.04.2017 11:35]

Ausnutzung von einer weiteren Lücke ergänzt. (des)