November-Patchday: Microsoft schließt kritische RTF-Lücke

Sie ließ sich mit manipulierten E-Mails im RTF-Format ausnutzen. Ein Angreifer konnte darüber Schadcode einschleusen und ausführen. Microsoft hat auch eine seit Längerem bekannte DLL-Hijacking-Schwachstelle in seinen Office-Anwendungen beseitigt.

Microsoft hat wie angekündigt drei Sicherheitsupdates veröffentlicht, die elf Anfälligkeiten in PowerPoint, anderen Office-Anwendungen und Forefront Unified Access Gateway beseitigen. Das größte Risiko geht von einer Schwachstelle in Office 2007 und 2010 aus, die es einem Angreifer ermöglicht, mittels manipulierter E-Mails im RTF-Format die Kontrolle über ein ungepatchtes System zu übernehmen.

„Das Gefährliche an dieser Schwachstelle ist, dass ein Anwender eine schädliche E-Mail nicht öffnen muss, um seinen Rechner zu infizieren“, sagte Joshua Talbot, Security Intelligence Manager bei Symantec. „Es reicht aus, dass der Inhalt der E-Mail im Lesebereich von Outlook angezeigt wird. Markiert ein Nutzer eine manipulierte E-Mail, um eine Vorschau zu sehen, wird sein Rechner sofort infiziert.“

Das Update MS10-087 beseitigt insgesamt fünf Schwachstellen in Office XP, 2003, 2007 und 2010 sowie Office für Mac 2004, 2011 und dem Open-XML-Dateikonverter für Mac. Es stopft auch eine seit Längerem bekannte DLL-Hijacking-Lücke, die auch in anderen Windows-Anwendungen steckt.

Die übrigen Patches beheben Anfälligkeiten in PowerPoint 2002 und 2003, dem PowerPoint Viewer, Office für Mac 2004 (MS10-088) sowie Forefront Unified Access Gateway 2010 (MS10-089). Die Relevanz dieser beiden Updates stuft Microsoft als „hoch“ ein.

Microsoft zufolge wurden die jetzt geschlossenen Sicherheitslücken bisher nicht aktiv ausgenutzt. Trotzdem rät das Unternehmen betroffenen Kunden, die Fixes schnellstmöglich einzuspielen.

Laut Microsoft hat das Office-Update, das eine kritische RTF-Lücke behebt, oberste Priorität (Bild: Microsoft).
Laut Microsoft hat das Office-Update, das eine kritische RTF-Lücke behebt, oberste Priorität (Bild: Microsoft).

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu November-Patchday: Microsoft schließt kritische RTF-Lücke

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *