Mai-Patchday: Microsoft beseitigt Zero-Day-Lücken in Office

Angreifer nutzen bereits aktiv mehrere kritische Schwachstellen in Office und Internet Explorer. Diese erlauben Remotecodeausführung sowie die vollständige Übernahme von Systemen. Statt aus Sicherheitsbulletins sind Einzelheiten jetzt aus der Datenbank Security Update Guide zu entnehmen.

Am Mai-Patchday hat Microsoft eine Reihe von Sicherheitsupdates veröffentlicht, die neben den Windows-Betriebssystemen auch seine Office-Suite betreffen. Die Fixes gelten außerdem Schwachstellen in den Browsern Edge und Internet Explorer, in Microsoft-Office-Diensten und Web-Apps, im .NET-Framwork sowie im Adobe Flash Player, wie den Versionshinweisen zu entnehmen ist. Insgesamt geht es in diesem Monat um über 50 Schwachstellen, darunter auch Zero-Day-Lücken.

(Bild: Shutterstock)

Behoben wird unter anderem eine besonders gefährliche Zero-Day-Lücke in Microsoft Office, die bereits für aktive Angriffe genutzt wird. Die Sicherheitsforscher von FireEye beobachteten ihren Einsatz durch eine russische Cyberspionage-Gruppe sowie einen noch unbekannten und finanziell motivierten Angreifer. Anfällig dafür sind die 32- und 64-Bit-Versionen von Office 2010, 2013 und 2016. Auch eine kritische Sicherheitslücke im Internet Explorer wird offenbar schon aktiv von Angreifern genutzt.

Die als CVE-2017-0261 erfasste Office-Schwachstelle erlaubt Remotecodeausführung und kann einem erfolgreichen Angreifer Kontrolle über das System geben. Das Sicherheitsloch steht ebenso wie eine weitere Zero-Day-Lücke (CVE-2017-0262) in Zusammenhang mit der Handhabung von Encapsulated PostScript (EPS) durch Microsofts Bürosoftware. Eine dritte Zero-Day-Lücke (CVE-2017-0263) erlaubt Angreifern, sich höhere Berechtigungen zu verschaffen. Die aktive Ausnutzung dieser Schwachstellen durch verschiedene Angreifergruppen beschreibt FireEye in einem Blogeintrag.

Das monatliche Sicherheitsupdate für den Mai folgte kurz nach einem Notfall-Patch für eine gravierende Zero-Day-Lücke, die von Sicherheitsforschern bei Googles Project Zero gemeldet wurde. Sie fand sich ausgerechnet in der Virenschutz-Komponente Malware Protection Engine (MsMpEng), die von Windows Defender und anderen Sicherheitsprodukten genutzt wird.

Die gesamten Patches dieses Monats beschreibt Microsoft genauer in seiner Security Update Guide genannten Datenbank. Sie ersetzt inzwischen die frühere Übersicht mit Security Bulletins und soll nun als einzige Anlaufstelle für Informationen über Sicherheitsanfälligkeiten dienen. Viele Anwender beklagen aber seither die verringerte Übersicht. Sich durch die einzelnen Einträge zu arbeiten, kann sich wesentlich mühseliger und zeitaufwendiger gestalten.

ANZEIGE

Kostenloses Live-Webinar: Rechtzeitig compliant!

Erfahren Sie am 08.12.2017 um 10:30 Uhr im kostenlosen Live-Webinar mit David Pütz von KYOCERA, wie Ihnen Dokumentenlösungen helfen können, die Vorgaben der EU-Datenschutzgrundverordnung umzusetzen, die im Mai 2018 in Kraft tritt. Informieren Sie sich jetzt, denn den Unternehmen, die die Anforderungen der EU-DSGVO nicht erfüllen, drohen empfindliche Strafen.

Themenseiten: Browser, Malware, Microsoft, Office, Sicherheit, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Mai-Patchday: Microsoft beseitigt Zero-Day-Lücken in Office

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *