Mai-Patchday: Microsoft beseitigt Zero-Day-Lücken in Office

Angreifer nutzen bereits aktiv mehrere kritische Schwachstellen in Office und Internet Explorer. Diese erlauben Remotecodeausführung sowie die vollständige Übernahme von Systemen. Statt aus Sicherheitsbulletins sind Einzelheiten jetzt aus der Datenbank Security Update Guide zu entnehmen.

Am Mai-Patchday hat Microsoft eine Reihe von Sicherheitsupdates veröffentlicht, die neben den Windows-Betriebssystemen auch seine Office-Suite betreffen. Die Fixes gelten außerdem Schwachstellen in den Browsern Edge und Internet Explorer, in Microsoft-Office-Diensten und Web-Apps, im .NET-Framwork sowie im Adobe Flash Player, wie den Versionshinweisen zu entnehmen ist. Insgesamt geht es in diesem Monat um über 50 Schwachstellen, darunter auch Zero-Day-Lücken.

(Bild: Shutterstock)

Behoben wird unter anderem eine besonders gefährliche Zero-Day-Lücke in Microsoft Office, die bereits für aktive Angriffe genutzt wird. Die Sicherheitsforscher von FireEye beobachteten ihren Einsatz durch eine russische Cyberspionage-Gruppe sowie einen noch unbekannten und finanziell motivierten Angreifer. Anfällig dafür sind die 32- und 64-Bit-Versionen von Office 2010, 2013 und 2016. Auch eine kritische Sicherheitslücke im Internet Explorer wird offenbar schon aktiv von Angreifern genutzt.

Die als CVE-2017-0261 erfasste Office-Schwachstelle erlaubt Remotecodeausführung und kann einem erfolgreichen Angreifer Kontrolle über das System geben. Das Sicherheitsloch steht ebenso wie eine weitere Zero-Day-Lücke (CVE-2017-0262) in Zusammenhang mit der Handhabung von Encapsulated PostScript (EPS) durch Microsofts Bürosoftware. Eine dritte Zero-Day-Lücke (CVE-2017-0263) erlaubt Angreifern, sich höhere Berechtigungen zu verschaffen. Die aktive Ausnutzung dieser Schwachstellen durch verschiedene Angreifergruppen beschreibt FireEye in einem Blogeintrag.

Das monatliche Sicherheitsupdate für den Mai folgte kurz nach einem Notfall-Patch für eine gravierende Zero-Day-Lücke, die von Sicherheitsforschern bei Googles Project Zero gemeldet wurde. Sie fand sich ausgerechnet in der Virenschutz-Komponente Malware Protection Engine (MsMpEng), die von Windows Defender und anderen Sicherheitsprodukten genutzt wird.

Die gesamten Patches dieses Monats beschreibt Microsoft genauer in seiner Security Update Guide genannten Datenbank. Sie ersetzt inzwischen die frühere Übersicht mit Security Bulletins und soll nun als einzige Anlaufstelle für Informationen über Sicherheitsanfälligkeiten dienen. Viele Anwender beklagen aber seither die verringerte Übersicht. Sich durch die einzelnen Einträge zu arbeiten, kann sich wesentlich mühseliger und zeitaufwendiger gestalten.

WEBINAR

Von Software Defined bis Composable – Neue Architekturansätze im Datacenter

Florian Bettges von HPE erläutert in diesem Webinar, wie Unternehmen von hybriden IT-Konzepten profitieren können. Dabei geht er auf die Vorteile der einzelnen Ansätze ein und stellt Konzepte vor, wie die unterschiedlichen Ansätze in Zukunft in hybriden IT-Konzepten ineinander fließen. Jetzt registrieren und Webinaraufzeichnung ansehen.

Themenseiten: Browser, Malware, Microsoft, Office, Sicherheit, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Mai-Patchday: Microsoft beseitigt Zero-Day-Lücken in Office

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *