Microsoft Patchday Oktober 2012

Kritische Sicherheitslücke in Microsoft Office

| Redakteur: Stephan Augsten

Auf der Prioritätenliste zum Microsoft Patchday steht ein Office-Update aktuell ganz oben.
Auf der Prioritätenliste zum Microsoft Patchday steht ein Office-Update aktuell ganz oben.

Zum Microsoft Patchday stehen im Oktober 2012 sieben Sicherheitsupdates auf dem Plan. Eines davon gilt als kritisch und schließt zwei Sicherheitslücken in verschiedenen Word-Komponenten von Microsoft Office. Die übrigen sechs Patches stuft Microsoft als wichtig ein.

Zwei Sicherheitsanfälligkeiten in Microsoft Office sollen mit dem Security Bulletin MS12-064 der Vergangenheit angehören. Eine der Schwachstellen ermöglicht es im schlimmsten Fall, Code von außen auf einem betroffenen System auszuführen (Remote Code Execution).

Der Angreifer kann auf diesem Weg an die Rechte des aktuell angemeldeten Benutzers gelangen. Hierfür muss der Anwender ein speziell angepasstes Dokument im Rich-Text-Format (RTF) öffnen oder in der Vorschau anzeigen.

Als kritisch gilt diese Lücke im Falle der 32- und 64-Bit-Versionen von Microsoft Office 2010 Service Pack 1 (SP1) sowie unter Office 2007 SP2 und SP3. Ein immerhin hohes Risiko besteht bei Office 2003 SP3, dem Microsoft Word Viewer sowie dem Office-Kompatibilitätspaket mit SP2 und SP3.

Mit dem Microsoft Sharepoint Server 2010 SP1 und den Office Web Apps 2010 SP1 sind auch zwei Server-Lösungen des Herstellers betroffen. Sowohl Mac-Besitzer als auch Nutzer von Microsoft Works 9 haben hingegen nichts zu befürchten.

Weitere Updates für Sharepoint-Server

Works-Anwender müssen dafür allerdings das Sicherheitsupdate MS12-065 einspielen, das eine ähnliche Remote-Code-Execution.Schwachstelle schließt. In diesem Falle kann jedoch jedes Word-Dokument als Angriffsbasis dienen. Allerdings stuft Microsoft auch diese Sicherheitslücke „nur“ als wichtig ein.

Weitere Anfälligkeiten in Sharepoint schließt Microsoft auch mit den Security Bulletins MS12-066 und MS12-067. Das erste dieser Updates betrifft auch Unternehmen, die Microsoft Infopath, die Kommunikationsplattform Lync, den Groove Server oder die Office Web Apps nutzen.

Die Sicherheitsaktualisierung MS12-068 behebt eine Schwachstelle im Windows-Kernel. Offenbar sind bis auf Windows 8 und Server 2012 alle unterstützten Windows-Versionen anfällig. Auch den Netzwerkdienst Kerberos in Microsofts Server-Lösungen plagt eine Sicherheitslücke, Abhilfe soll der Microsoft-Patch MS12-069 schaffen.

Die letzte Anfälligkeit ermöglicht Cross-Site-Scripting-Attacken auf verschiedenste Versionen des Microsoft SQL Server. Allerdings müssen in diesem Fall die SQL Server Reporting Services aktiviert sein. Um die Sicherheitslücke auszunutzen, könnte der Angreifer einen Nutzer der anfälligen Webseite dazu bringen, einen manipulierten Link anzuklicken. Mit dem Security Bulletin MS12-070 will Microsoft das Problem beheben.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 36039690 / Schwachstellen-Management)